Nueva versión de
Backswap ataca ahora a seis entidades bancarias españolas.
Ya hablamos en la Una
al Día de BackSwap, una variante de Tinba, un pequeño (10-50kB) pero
sofisticado troyano bancario que implementa algoritmos de generación de
dominios (para la comunicación con el C&C), captura de credenciales de
usuario desde formularios o la inyección en diferentes procesos.
Existen múltiples
versiones de Backswap, la mayoría tienen como objetivo bancos polacos o
monederos de criptomonedas.
Como su nombre
indica, el malware "intercambia" (swap) el número de cuenta de la
víctima directamente por el de la "mula" que retirará el dinero.
Mediante un ataque
MitB (Man-in-the-Browser), el atacante intercambia los números de cuenta
inyectando código JavaScript directamente en la consola del navegador. Todo
ello sin que la víctima se de cuenta.
Las últimas muestras
encontradas han ampliado sus objetivos y apuntan ahora a bancos españoles. En
total seis importantes entidades se han visto afectadas por este malware.
Backswap se propaga
en campañas de spam, por lo que recomendamos no abrir nunca correos con
adjuntos no solicitados. Además de mantener siempre actualizados sus sistemas
de seguridad.
Indicadores de
compromiso:
- hxxps://5[.]61[.]47[.]74/batya/give.php
- hxxps://103[.]242[.]117[.]248/batya/give.php
- hxxps://mta116[.]megaonline[.]in
- hxxps://czcmail[.]com
(IP: 119[.]23[.]128[.]176)
Más información:
·
BackSwap
Malware Now Targets Six Banks in Spain https://securityintelligence.com/backswap-malware-now-targets-six-banks-in-spain/
·
Backswap
malware analysis https://www.cert.pl/en/news/single/backswap-malware-analysis/
Fuente: Hispasec