近日,ESET的安全專家發現了一種名為“BackSwap Trojan”的新型銀行惡意軟件,它利用“消息循環”的本地Windows機制,繞過瀏覽器實施的防惡意軟件解決方案和防護功能。BackSwap已影響五家波蘭銀行,且Chrome、Firefox等前主流瀏覽器也受到影響。專家認為,很多其他變種惡意軟件會在短時間內採用相同的技術,因為它容易實施,且效果顯著。
BackSwap利用本地Windows 消息循環機制
到目前為止,所有的銀行惡意軟件都使用兩種主要技巧,竊取受害者錢財:
第一種技術是目前很少使用的、依賴於通過攔截對與銀行有關的網站的請求,並通過代理將用戶重定向到原始銀行門戶的克隆網站,來改變本地DNS和網絡設置。
第二種技術是目前針對Dridex、Ursnif、Zbot、Trickbot、Qbot等所有主要銀行惡意軟件的解決方案,它依靠在瀏覽器進程中注入惡意代碼。
據研究人員發佈的報告,BackSwap惡意軟件採用了與以前的惡意軟件完全不同的新技術。此外,這些技術避免了AV和瀏覽器相關的保護,因為它們根本不會篡改瀏覽器進程。
BackSwap部署的第一種技術是一種用於檢測用戶何時訪問銀行業務相關網站的技術。研究人員稱,BackSwap使用一種名為“消息循環”的本地Windows機制,使用創新的技術來操縱瀏覽器,惡意腳本直接從URL地址欄通過JavaScript協議執行。
BackSwap只是簡單地瀏覽Windows消息循環,搜索類似URL的模式,例如“https”字符串以及與銀行網站相關的任何其他條款。
主流瀏覽器均可被利用
當前版本的BackSwap Trojan可以用於大多數流行的瀏覽器,例如Google Chrome、Mozilla Firefox和Internet Explorer。
ESET證實,當前版本的BackSwap惡意軟件影響五家波蘭銀行,PKO Bank Polski、Bank Zachodni WBK SA、mBank、ING和Pekao。專家認為,很多其他變種惡意軟件會在短時間內採用相同的技術,容易實施,且效果顯著。
閱讀更多 安勝ANSCEN 的文章
