BackSwap: un nuevo troyano que es capaz de vaciar tu cuenta de banco con ingeniosos y simples métodos

Durante los últimos años, los malware bancarios (conocidos como “Bankers”) que circulaban por internet se habían visto disminuidos gracias a su increíble popularidad en la comunidad de cibercriminales. Su uso se extendió tanto que la mayoría de los desarrolladores no solo de protocolos antivirus y de protección, sino que también de los navegadores, comenzaron a actuar en contra de los métodos que estos utilizaban.

Tras poco tiempo, el uso de Bankers dio paso a otros tipos de malware que ahora tememos, como ransomware, mineros de criptomonedas o código que ataca acumulaciones de criptomonedas y las roba de las mismas.

Pues ahora, en un comunicado oficial dentro de su sitio, un grupo de investigadores de ESET ha advertido acerca de un nuevo tipo de Banker. Llamado BackSwap por el nombre del código encontrado, este nuevo malware es capaz de pasar desapercibido tras sistemas de seguridad ya que no utiliza un proceso de inyección de código como sus antecesores, sino un método tan sencillo que no es necesario tener conocimiento alto del sistema operativo de Windows para implementarla en los ataques de un troyano.

BackSwap: el atraco perfecto

Este nuevo malware se ha encontrado utilizando tres técnicas diferentes que no se han visto en troyanos anteriores. Estas técnicas pueden atravesar protecciones de los navegadores y de software antivirus gracias a que no modifican los procesos del navegador.

Paso 1 : explorando el objetivo

La primera técnica que utiliza BackSwap se usa para detectar cuando un usuario trata de acceder a una página web bancaria utilizando un mecanismo nativo de Windows llamado “message loop”.
El “message loop” es una sección de código obligatorio en todo programa que utiliza una interfaz gráfica de usuario (o GUI, por sus siglas en inglés) en Microsoft Windows. Los navegadores son aplicaciones de GUI, por lo tanto utilizan “message loops”.

Lo único que BackSwap necesita hacer es leer el “message loop” de la aplicación de Windows hasta que encuentra patrones de URL, como líneas “https”, que se relacionan a una página web bancaria que el malware tenga programado como objetivo.

Paso 2: Atacando sin activar alarmas

El ataque de BackSwap toma lugar una vez que detectó el acceso a una de las páginas que tiene como objetivo. Los primeros casos del malware que descubrieron utilizaban el siguiente proceso:

1. El malware inserta su código malicioso en la clipboard de windows.
2. La ventana del navegador se vuelve invisible.
3. BackSwap simula el presionado de la combinación de teclas para abrir la consola de desarrollador del navegador (CTRL+SHIFT+J en Google Chrome, CTRL+SHIFT+K en Firefox).
4. BackSwap simula CTRL+V para pegar el contenido de la clipboard en la consola de desarrollador del navegador.
5. Simula la presión de la tecla ENTER para ejecutar el código
6. El código malicioso altera el código del portal bancario para darle al atacante control de lo que el usuario ve.
7. El malware simula la combinación de teclas para cerrar la consola
8. BackSwap vuelve a hacer visible la ventana del navegador

Todo ese proceso toma menos de un segundo en ejecutarse, por lo que los usuarios no podrán darse cuenta fácilmente de que algo ocurre, comúnmente confundiéndolo como el navegador quedando congelando un momento.

Sin embargo, parece ser que los desarrolladores de BackSwap dejaron atrás este proceso para cambiar a una nueva técnica: un simple protocolo “javascript:”

1. Tras identificar el acceso a un sitio bancario, se simula CTRL+L para seleccionar la barra de direcciones del navegador.
2. BackSwap simula la tecla RETROCESO para limpiar el campo de URL.
3. El malware “teclea” un alinea de código “javascript:” letra por letra en la barra de direcciones. Se escribe de esta manera para evitar la detección de protecciones XSS del navegador.
4. El protocolo pega su código JavaScript despues de la linea “javascript:”.
5. Se simula la tecla ENTER para ejecutar el código.
6. BackSwap limpia la barra de direcciones para eliminar rastros

Este nuevo proceso de BackSwap se puede utilizar contra Google Chrome, Mozilla Firefox e Internet Explorer. Sin embargo, con un poco de modificación podría traducirse a cualquier otro navegador existente, ya que todos los navegadores modernos mantienen compatibilidad de consola de desarrollador y de protocolos “javascript:”.

¿Debemos dejar de confiar en todo?

Por el momento, no. ESET ha indicado que por el momento no se trata de un riesgo global, pues BackSwap solo tiene por objetivos a 5 bancos polacos: PKO Bank Polski, Bank Zachodni WBK S.A., mBank, ING, y Pekao. Sin embargo, ya están preparándose para responder a futuros troyanos que puedan integrar estas técnicas.