ROMA (WSI) – Conti correnti a rischio. Si chiama BackSwap il nuovo malware che con tecniche innovative si inserisce nei broswer e ruba i soldi dei conti di ignare vittime.
A scovarlo i ricercatori della ESET, che hanno individuato il primo esemplare di questo malware lo scorso 13 marzo, distribuito in una serie di campagne di e-mail fraudolente ai danni di utenti polacchi. Come funziona questo nuovo virus svuota conti? Lo spiegano gli esperti.
I messaggi di spam utilizzati in queste campagne includono un allegato malevolo contenente codice JavaScript altamente offuscato, identificato come una variante del trojan downloader Nemucod. Allo scopo di intercettare le comunicazioni del browser della vittima e dirottare le transazioni bancarie la maggior parte dei trojan bancari attivi in-the-wild, come Dridex, Ursnif, Zbot, TrickBot, Qbot e molti altri, inietta il proprio codice nello spazio di indirizzamento del browser e aggancia le funzioni specifiche che gli consentono di intercettare il traffico HTTP in chiaro (…) Il downloader scarica sul PC della vittima una versione modificata di un’applicazione apparentemente legittima, contenente il payload del malware e progettata in modo da confondere la vittima e rendere più difficile l’individuazione del codice malevolo (…) invece di utilizzare la console dello sviluppatore per caricare ed eseguire il codice malevolo, come fanno molti altri malware di questo tipo, BackSwap fa in modo che il codice venga eseguito direttamente dalla barra degli indirizzi del browser, mediante il protocollo standard javascript:”.
In sostanza gli script malevoli vengono iniettati da BackSwap in pagine specifiche dei siti bancari, da cui “l’utente può effettuare trasferimenti di denaro, ad esempio con un’operazione di bonifico verso un altro conto corrente. Quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello dell’attaccante, che riceverà quindi il denaro al posto del corretto beneficiario”.
Occhio quindi ai bonifici visto che questa tecnica non può essere contrastata dalle misure di sicurezza delle applicazioni di home banking, in quanto l’utente risulta già autenticato e l’operazione già autorizzata mediante l’uso di sistemi a due fattori (OTP, codici di autorizzazione, token crittografici)”.
Al momento, BackSwap colpisce unicamente un numero limitato di banche polacche – dicono gli esperti – ma non si può escludere che i suoi autori possano ampliare in futuro il loro raggio di azione, prendendo di mira istituti bancari di altri Paesi europei.
