06.06.2018  Новости, Безопасность

Эксперты компании ESET обнаружили троянца, использующего новый способ кражи средств с банковских счетов. BackSwap работает с элементами графического интерфейса Windows и имитирует нажатие клавиш, чтобы избежать детектирования и обойти защиту браузера. Чтобы получить доступ к счету жертвы, обычные троянцы внедряют в процессы браузера вредоносный код, отслеживая с его помощью посещение сайтов интернет-банков, чтобы затем изменить НТТР-трафик или перенаправить жертву на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода. Кроме того, авторы вирусов вынуждены разрабатывать свою схему атаки для каждой версии браузера и менять тактику с выходом новых версий. Авторы BackSwap, отмечают в ESET, избавились от этой проблемы тривиальным, но эффективным способом. Троянец не внедряет код в процессы браузера, а он «узнает», когда пользователь заходит в онлайн-банк, с помощью событий Windows в цикле ожидания сообщений. Обнаружив работу с интернет-банком, троянец внедряет вредоносный код в веб-страницу через консоль разработчика в браузере или в адресную строку. Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, Delete для очистки поля, CTRL+V для вставки вредоносного скрипта и Enter для его выполнения. Когда процесс завершен, адресная строка будет очищена, чтобы скрыть следы компрометации. Простая на первый взгляд схема ... читать далее.