• 發布單位:TWCERT/CC
• 更新日期:2020-03-31
• 點閱次數:337

IBM X-Force研究人員分析了一種相對較新的銀行木馬的活動名為BackSwap。 BackSwap於2018年3月出現，到近期原僅有波蘭銀行成為其目標。而該惡意軟體現在目標包含了西班牙的六家主要銀行。

根據X-Force分析，BackSwap是基於Tinba木馬既存功能的惡意軟體專案。惡意軟體開發者將其程式碼保存為自己的專案;從這個意義上說，被認為是集團所有，而非一般企業惡意軟體。

BackSwap並不比任何其他活躍的銀行木馬複雜。其亮點是它的網路注入機制。BackSwap不是使用更常見的掛鉤瀏覽器功能的方法，而是為每個架構建立不同的版本，將JavaScript注入位址欄。

BackSwap使用JavaScript協議URL來執行腳本，透過模擬用戶輸入來存取瀏覽器的位址欄並直接在其中插入惡意腳本，並繞過瀏覽器和銀行第三方安全控管的保護。

就BackSwap對注射的作用而言，這是新穎的結果。正如Zeus等惡意軟體已經存在十多年一樣，BackSwap使用惡意腳本以典型的瀏覽器中間人攻擊(man-in-the-browser, MitB)手法修改受害者在銀行網站上看到的內容：

→在替換目標帳號之前，腳本會等待傳輸最少量的數據。
→腳本透過MitB動態注入空頭帳號。
→腳本把款項即將匯入的空頭帳號隱藏起來，改為顯示受害者輸入的原始目標帳戶。

基於BackSwap功能的可能欺詐情況是由MitB惡意軟體腳本的自動化來欺詐。惡意軟體的腳本等待用戶轉到要進行交易的頁面。當受害者執行攻擊者感興趣的動作時，例如新增收款人或開始匯款，惡意軟體會用空頭帳號替換目標帳戶。

使用MitB腳本來改變發送到銀行的交易細節不是新方法。這裡的新功能是BackSwap實作它以繞過銀行網站上的第三方安全的方式。對於不需要雙因素身份驗證（2FA）或從客戶轉移到其他帳戶的頻外交易授權(out-of-band transaction authorization, OOBA)的銀行，此方法可以更成功。

BackSwap通常透過惡意軟體垃圾郵件發送給用戶，隱藏在Microsoft Word等常見文件的附件中或繫結在其他程式中。 BackSwap支援流行的免費軟體或開源程式，並在程式的初始化階段植入其代碼。在程式執行的早期階段運行時，程式碼會使用執行BackSwap的惡意指令替換安裝例程。例如Ollydbg.exe，它是惡意軟體研究人員經常使用的程式。

迄今為止，惡意軟體的攻擊範圍僅限於波蘭的一些銀行和西班牙的一些銀行，專門針對個人銀行業務，到目前為止，每個國家的銀行數量有限，可能表示BackSwap仍處於測試階段，並且可能在2018年第四季可能會有更廣泛的攻擊。

以下為研究團隊提供之IoCs(Indicators of Compromise)：

C&C(Command-and-control)伺服器IP：
hxxps://5[.]61[.]47[.]74/batya/give.php
hxxps://103[.]242[.]117[.]248/batya/give.php
hxxps://mta116[.]megaonline[.]in
hxxps://czcmail[.]com (IP: 119[.]23[.]128[.]176)

近期的樣本MD5：
180721A8551FBBCD763C320E7034E36C (WinGraph32.exe)
F44D28F852A99821B681C3EAF044C8D3 (OllyDbg.exe)

攻擊手法：man-in-the-browser

參考連結：

https://securityintelligence.com/backswap-malware-now-targets-six-banks-in-spain/
https://www.zdnet.com/article/trojan-malware-campaign-expands-with-attacks-against-new-banks/