I ricercatori di Eset hanno scoperto una nuova famiglia di trojan bancari che impiega tecniche innovative per aggirare le protezioni dei moderni browser e rubare soldi dai conti correnti delle vittime. 

La nuova minaccia tecnologica per i conti correnti si chiama ‘BackSwap’, un malware il cui primo "esemplare" - secondo quanto si legge sul sito del Cert Italia (Computer Emergency Response Team) - è stato rilevato come Win32/BackSwap.A e individuato lo scorso 13 marzo, distribuito in una serie di campagne di e-mail fraudolente ai danni di utenti polacchi.

BackSwap rileva quando un browser Web si connette a specifici URL corrispondenti ad applicazioni di home banking note. Una volta individuata la banca bersaglio, il malware carica nel browser il codice JavaScript malevolo corrispondente e fa in modo che il codice venga eseguito direttamente dalla barra degli indirizzi del browser, mediante il protocollo standard javascript. BackSwap è in grado di funzionare con Google Chrome, Mozilla Firefox e anche Internet Explorer (solo le versioni più recenti del malware), aggirando con successo le funzioni di protezione di questi browser.

Una volta entrato in funzione, BackSwap devia i movimenti bancari effettuati dal titolare del conto. Come spiegano gli esperti, gli script malevoli vengono iniettati da BackSwap in pagine specifiche dei siti bancari, da cui «l'utente può effettuare trasferimenti di denaro, ad esempio con un’operazione di bonifico verso un altro conto corrente. Quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello dell’attaccante, che riceverà quindi il denaro al posto del corretto beneficiario. Questa tecnica non può essere contrastata dalle misure di sicurezza delle applicazioni di home banking, in quanto l’utente risulta già autenticato e l’operazione già autorizzata mediante l’uso di sistemi a due fattori (OTP, codici di autorizzazione, token crittografici)».

BackSwap ha colpito finora solo un numero limitato di banche polacche ma il sito del Cert mette in guardia: «Non si può escludere che i suoi autori possano ampliare in futuro il loro raggio di azione, prendendo di mira istituti bancari di altri Paesi europei».