Neuartige Banking-Malware hebelt Schutzmechanismen aus
Die Beliebtheit von Banking-Malware unter Cyberkriminellen ist in den vergangenen Jahren zurückgegangen. Weiterentwickelte Antimalware-Programme und Web-Browser bieten Usern besseren Schutz vor Banken-Trojanern als jemals zuvor. Damit gestaltet sich konventioneller Online-Banking Betrug sehr viel komplexer. Malware-Entwickler investieren ihre Zeit und Ressourcen eher in einfachere und gewinnbringendere Malware-Projekte wie Ransomware, Cryptominer oder Crypto-Trojaner.
Wie auf welivesecurity.de weiter ausführlich dazu ausgeführt wurde, haben die ESET-Forscher nun eine neue Banking-Malware Familie aufgedeckt, die innovative Techniken der Browser-Manipulation einsetzt. Anstelle des Einsatzes komplexer Process Injection Methoden, um die Browser-Aktivität aufzuzeichnen, klinkt sich die Malware in Key Window Message Loop Events ein. Dann untersucht sie die Werte der Window Objects nach Online-Banking Aktivitäten.
Entdeckt die Banking-Malware eine Online-Banking Aktivität, fügt sie schädlichen JavaScript Code zur aufgerufenen Online-Banking Seite hinzu – entweder in die JavaScript Console vom Browser oder direkt in die Adresszeilenleiste. Das alles passiert ohne das Wissen des Users. Dieser scheinbar einfache Trick hebelt sogar die fortschrittlichsten Browser-Schutzmechanismen aus. Eine erste Version der Malware wurde bereits im Januar beobachtet. ESET entdeckte dann die Banking-Malware BackSwap am 13. März 2018 als ESET as Win32/BackSwap.A.
Die Verbreitungswege der BackSwap Banking-Malware
Die BackSwap Banking-Malware verteilt sich durch E-Mail Spam-Kampagnen mit schädlichem Anhang. Es handelt sich hierbei um einen schwer verschleierten JavaScript Downloader, der aus der allgemein bekannten Malware-Familie Nemucod stammt. Die Spam-Kampagnen treffen momentan polnische Computer-User.
Sehr oft sind die Computer der Betroffenen schon mit dem bekannten Win32/TrojanDownloader.Nymaim Downloader kompromittiert. Diese Malware scheint sich auf die gleiche Weise zu verbreiten. Zum Zeitpunkt der Erstellung dieses Beitrags ist uns nicht bekannt, ob es sich hierbei um einen Zufall handelt, oder ob beide Malware-Familien miteinander verknüpft sind.
Neue Browser-Manipulationstechnik
Die Banking-Malware Win32/BackSwap.A verfolgt einen völlig anderen Ansatz. Sie greift auf Windows GUI-Elemente und das Simulieren von User-Eingaben zurück. Das mag zunächst trivial erscheinen, allerdings verbirgt sich dahinter eine mächtige Technik, die manche „Probleme“ der konventionellen Injection-Methode lösen.
Außerdem interagiert die Banking-Malware nicht mit dem Web-Browser auf Prozessebene. Insofern werden keine besonderen Privilegien benötigt. Zudem müssen nicht irgendwelche besonderen Schutzprozesse des Browsers umgangen werden. Sehr positiv für die Angreifer ist auch die Tatsache, dass der Code nicht von den Prozessorarchitekturen der Webbrowser abhängt.
Fazit
Win32/BackSwap.A versinnbildlicht uns den nicht endenden Kampf zwischen Sicherheitsunternehmen und Entwicklern von Online-Banking Malware. Neue cyberkriminelle Methoden müssen nicht unbedingt komplex gestaltet werden, um effektiv zu sein. Wir sind der Auffassung, dass durch den besseren Schutz der Web-Browser vor konventioneller Code Injection die Malware-Entwickler nach anderen Wegen der Kompromittierung suchen. Win32/BackSwap.A zeigt uns nun eine Möglichkeit davon.
ESET Sicherheitslösungen erkennen und blockieren die Win32/BackSwap.A Bedrohung. Darüber hinaus wurden alle Browser-Anbieter über die neue Script Injection Technik informiert.
Weiterführende Links:
welivesecurity.com: BackSwap Banking-Malware leert Bank-Konten
