Троян BackSwap использует новые способы кражи средств с банковских счетов
Разработчики антивирусных программ под названием ESET совсем недавно обнаружили очередной, не похожий на остальные виды, троянский вирус. Он направлен на кражу виртуальной валюты с банковских счетов. Новый вирус носит название BackSwap. Его работа ведется при помощи графического интерфейса исключительно через операционную систему Windows. Действия заключаются в том, чтобы имитировать нажатия клавиш клавиатуры для того, чтобы:
быть незамеченным при проникновении в процесс браузера;
обойти все существующие антивирусные средства, которые используют в рабочем браузере.
Как происходит рабочий процесс трояна BackSwap
Вся работа производится при помощи вредоносного обеспечения под названием Malware.
1. Малвар занимается отслеживанием урл страницы, которую пользователь посетил в последний раз.
2. Затем он устанавливает перехватчик всех прошедших событий (event hooks). Это предоставляется возможным при помощи цикла оповещений от ОС Windows. К ним относятся:
еvent focus object;
еvent selection object;
Еvent name change object идругие.
Программа занимается поиском значения, указанного урл при помощи поисковой системы по объекту их строк, начинающиеся с обозначением НТТРS.
3. После этого, антивирусная продукция под названием Win32/BackSwap. A. ищет адрес, который относится к банку, а также заголовок окна в браузере. В заголовке должно быть указано то, что банковский клиент готов к денежному переводу.
4. После обнаружения заданной информации, создатель трояна внедряет вредоносную программу, которая полностью соответствует конкретному банковскому отделению и вводит его в нужный браузер. Распознавание проводится вполне простым, даже местами тривиальным, однако очень эффективным методом.
Мнение специалистов ESET
Разработчики ESET уведомляет о том, что в данный момент троян БэкСвэп активно применяется в атаках, направленных на клиентов как минимум 5ти банков в Польше. А именно:
ПКО Польский Банк;
ВБК С.А. Банк Заходный;
мБанк;
ИНГ и Пекао.
Также специалисты указывают на то, что разработчиков троянского вируса интересуют переводы денежных средств исключительно в крупных размерах. Размер варьируется от десяти тысяч до двадцати тысяч в польской валюте. В переводе на российские рубли – это от 168 тысяч до 337 тысяч рублей. Код мошенников не просто заменяет расчетный счет получатели, а изменяет вводное поле на липовое.
Читать статью на:
