7 de septiembre de 2018

BACKSWAP. Ataque a la banca española

Nueva versión de Backswap ataca ahora a seis entidades bancarias españolas.
Ya hablamos en la Una al Día de BackSwap, una variante de Tinba, un pequeño (10-50kB) pero sofisticado troyano bancario que implementa algoritmos de generación de dominios (para la comunicación con el C&C), captura de credenciales de usuario desde formularios o la inyección en diferentes procesos.
Existen múltiples versiones de Backswap, la mayoría tienen como objetivo bancos polacos o monederos de criptomonedas.
Como su nombre indica, el malware "intercambia" (swap) el número de cuenta de la víctima directamente por el de la "mula" que retirará el dinero.
Mediante un ataque MitB (Man-in-the-Browser), el atacante intercambia los números de cuenta inyectando código JavaScript directamente en la consola del navegador. Todo ello sin que la víctima se de cuenta.
Las últimas muestras encontradas han ampliado sus objetivos y apuntan ahora a bancos españoles. En total seis importantes entidades se han visto afectadas por este malware.
Backswap se propaga en campañas de spam, por lo que recomendamos no abrir nunca correos con adjuntos no solicitados. Además de mantener siempre actualizados sus sistemas de seguridad.
Indicadores de compromiso:
  • hxxps://5[.]61[.]47[.]74/batya/give.php
  • hxxps://103[.]242[.]117[.]248/batya/give.php
  • hxxps://mta116[.]megaonline[.]in
  • hxxps://czcmail[.]com (IP: 119[.]23[.]128[.]176)
Más información:
·         BackSwap Malware Now Targets Six Banks in Spain https://securityintelligence.com/backswap-malware-now-targets-six-banks-in-spain/
·         Backswap malware analysis https://www.cert.pl/en/news/single/backswap-malware-analysis/
Fuente: Hispasec