Banking Malware

มัลแวร์ BackSwap นวัตกรรมใหม่ที่แฮกเกอร์ใช้ดึงเงินออกจากบัญชีของคุณ

กลยุทธ์ใหม่ของแฮกเกอร์ในการยักยอกเงินออกจากบัญชีผู้ใช้ธุรกรรมออนไลน์ ด้วย BackSwap

นักวิจัยความปลอดภัยของ ESET พบส่วนประกอบของมัลแวร์ที่มีเทคนิคเจาะทะลุมาตรการป้องกันของเบราว์เซอร์

มัลแวร์ธุรกรรม (Banking Malware) เป็นหนึ่งในวิธีทำมาหากินยอดนิยมของแฮกเกอร์มาตลอดหลายปี และเป็นเหตุผลที่นักพัฒนาเว็บไซต์และองค์กรผลิตโปรแกรมรักษาความปลอดภัยขยายขอบเขตการป้องกัน เนื่องจากมัลแวร์มีความซับซ้อนมากขึ้นทุกวัน นักพัฒนามัลแวร์ทุ่มแรงไปกับมัลแวร์ที่ทำง่ายและทำเงินได้ดี อย่าง โปรแกรมเรียกค่าไถ่ (Ransomware) โปรแกรมขโมยเงินสกุลออนไลน์ และมัลแวร์ลักลอบใช้ทรัพยากรเครื่องของคุณเพื่อหาเงินสกุลออนไลน์

ล่าสุดนักวิจัยของ ESET พบสายพันธุ์ของมัลแวร์ที่ใช้เทคนิคใหม่เพื่อจัดการเบราว์เซอร์ โดยไม่ใช้วิธีใส่โค้ดเข้าไปเพื่อสอดแนม แต่เป็นการดึง Key Windows Message เพื่อดูกิจกรรมของผู้ใช้แทน

เมื่อใดก็ตามที่ผู้ใช้ทำธุรกรรมออนไลน์ มัลแวร์จะบรรจุโค้ด JavaScript ลงในเว็บเพจ (ผ่านคอนโซล JavaScript หรือ Address Bar) โดยที่ผู้ใช้ไม่รู้ตัว ซึ่งสามารถหลอกกระบวนการป้องกันของเบราว์เซอร์ได้

โดยทั่วไปมัลแวร์ธุรกรรม (Banking Trojan) มักใช้วิธีแพร่กระจายผ่านแผนการอีเมลปลอมที่แนบไฟล์ JavaScript อันตรายที่ชื่อว่า Nemucod เอาไว้ เหยื่อโดยส่วนมากจะถูกไวรัสที่ ESET ตรวจับได้ชื่อว่า Win32/TrojanDownloader.Nymiam แต่เรายังไม่สามารถสรุปได้ว่า BackSwap และ Nymiam มีความเกี่ยวข้องกันอย่างไร

ขั้นตอนการขโมยเงินของแฮกเกอร์คือ บรรจุโค้ดลงไปในเบราว์เซอร์ของผู้ใช้ โดยโค้ดดังกล่าวจะทำหน้าที่ค้นหาฟังก์ชั่นเฉพาะของเบราว์เซอร์ที่ใช้สำหรับรับส่ง HTTP Request เป็นตัวอักษรก่อนและหลังที่จะถูกเข้ารหัส เมื่อพบฟังก์ชั่นดังกล่าวแล้ว มัลแวร์จะทำใการเแปลงทราฟฟิค HTTP หรือเปลี่ยนเส้นทางเว็บไซต์ไปยังหน้าเว็บปลอมที่แฮกเกอร์เตรียมเอาไว้

แต่ในกรณีของ BackSwap มีกระบวนการที่แตกต่างออกไป เพราะทุกอย่างจะเกิดขึ้นบน Windows GUI ซึ่งทำให้มัลแวร์ไม่ต้องยุ่งกับตัวเบราว์เซอร์เลย นั่นหมายความว่าพวกเขาไม่ต้องเขียนโค้ดเพื่อให้ได้สิทธิในการควบคุมแต่อย่างใด

มัลแวร์จะสังเกตการณ์ URL ที่เพิ่งถูกใช้งานและติดตั้ง Event ที่เกี่ยวข้องกับ Windows Message Loop และทันทีที่พบ BackSwap จะบรรจุ JavaScript ที่ใช้สำหรับธนาคารนั้นๆและบรรจุโค้ดลงไปผ่าน JavaScript protocol URLs

Win32/BackSwap.A สามารถใช้งานได้กับ Google Chrome และ Mozilla Firefox รวมถึง Internet Explorer ด้วย และตราบใดที่เบราว์เซอร์ยังคงใช้คอนโซล JavaScript หรือเริ่มทำงาน Address ด้วย JavaScript อยู่

ในตอนนี้ BackSwap มีเป้าหมายเป็นธนาคารในประเทศโปแลนด์ แต่วันหนึ่งพวกเขาอาจขยายความสามารถของมัลแวร์ และแพร่กระจายได้ไกลยิ่งขึ้น อุตสาหกรรมการเงินจำเป็นจ้องเตรียมตัวรับมือกับเทคนิคใหม่ๆที่แฮกเกอร์จะนำมาใช้ และ BackSwap ก็เป็นกรณีศึกษาที่ดี

ผลิตภัณฑ์ของ ESET สามารถตรวจจับและป้องกัน Win32/BackSwap.A ได้

IoCs

9BC4C1D5403DDD90712CE87225490A21D1EDC516

JS/Nemucod.EAN trojan

CF5A74C268661501156663F74CD5E20603B0F261

Win32/BackSwap.A trojan

6251F9AD0E5F551AC4A6B918EF366E86C4CCFDC4

Win32/BackSwap.A trojan

2DC9760A7C6E9D261C73EFB7B2604840734BC058

Win32/BackSwap.A trojan

A68901D0D8C1247FF280F9453E3AE45687C57566

Win32/BackSwap.A trojan (JavaScript)

Author: Michal Poslušný
Source:
https://www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/
Translated by: Worapon H.

%d bloggers like this: