BlackSwap – nowy atak wycelowany w polskich internautów

Zaszyfrowani

Od kilku tygodni trwa kampania wymierzona w polskich internautów, której skutkiem może być utrata środków zgromadzonych na koncie. Badacz Paweł Śmierciak , analityk zagrożeń z laboratorium firmy ESET-a odkrył i przeanalizował nowy szkodliwy program o nazwie BackSwap.

Jak wskazuje firma ESET[1], na samym początku szkodnik za cel obrał sobie serwisy uczestniczące w wymianie kryptowalut, a dopiero w marcu skierował się w stronę pięciu polskich banków:

  • mBanku
  • ING Banku Śląskiego
  • BZ WBK
  • PKO BP
  • Pekao SA

Szkodliwy program szuka specyficznego adresu URL oraz nazwy/tytułu okienek, które wskazują na stronę banku. Poniżej widać fragment kodu zaprezentowany przez laboratorium ESET-a, który pokazuje nazwę okna (pierwsza czerwona ramka) oraz fragment adresu URL (druga czerwona ramka) jednego z banków, który BlackSwap wziął za cel.

Źródło: https://www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/
Źródło: https://www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/

Serwis Zaufana Trzecia Strona[2] opublikował dodatkowo przykładową wiadomość, która zawiera załącznik, po otwarciu którego dochodzi do infekcji systemu. 

Źródło: https://zaufanatrzeciastrona.pl/post/klienci-pko-bp-bz-wbk-mbanku-ing-i-pekao-na-celowniku-nowego-malware/
Źródło: https://zaufanatrzeciastrona.pl/post/klienci-pko-bp-bz-wbk-mbanku-ing-i-pekao-na-celowniku-nowego-malware/

Pliki są odpowiednio zmodyfikowane, by utrudnić rozpoznanie zagrożenia. Wspomniany portal oraz odkrywca zagrożenia podkreślają, że szkodnik nie wymaga uprawnień administratora do działania i potrafi ominąć mechanizmy bezpieczeństwa przeglądarki. Sama infekcja nie jest zwykłym wstrzyknięciem kodu javascript. BackSwap zadziała na przeglądarce Google Chrome, Firefox oraz Internet Explorer, ale przeglądarki te są uodpornione na takie ataki. W celu ominięcia zabezpieczenia, autorzy nie wklejają kodu w całości, lecz jest on wpisywany po jednym znaku, imitując zwykłego użytkownika. 

Aby uniknąć zagrożenia należy pamiętać o zachowaniu ostrożności przy otwieraniu maili, zwłaszcza sugerujących nieopłaconą fakturę lub rachunek. Warto w takiej sytuacji dokładnie sprawdzić kto jest nadawcą (należy to zrobić wybierając szczegóły wiadomości, gdyż sam nagłówek może być sfałszowany i wyglądać na prawdziwą wiadomość np. od banku). Dodatkowo należy regularnie aktualizować system i zainstalowane aplikacje, zainstalować program antywirusowy i robić regularne kopie zapasowe danych.

[1] https://www.eset.pl/O_nas/Centrum_prasowe/Aktualnosci,news_id,14252
[2] https://zaufanatrzeciastrona.pl/post/klienci-pko-bp-bz-wbk-mbanku-ing-i-pekao-na-celowniku-nowego-malware/