En la guía de supervivencia contra ciberatracos millonarios que publicamos en 2017 ya advertimos el peligro que suponen los troyanos bancarios y lo señalamos como una de las tendencias en ciberdelincuencia financiera, junto con el phishing o los keyloggers. Los troyanos bancarios roban la identidad de la víctima online para engañar a la entidad financiera y así sustraer el dinero de sus cuentas. Generalmente, lo hacen mediante la instalación de aplicaciones o la inserción de códigos maliciosos en los navegadores desde donde los usuarios acceden a sus cuentas bancarias.
Pero en estos dos últimos años, el nivel de actividad de los troyanos bancarios parece que había bajado considerablemente. Por un lado, las entidades han reaccionado ante las amenazas mejorando considerablemente la seguridad y los factores de autenticación de los clientes: un ejemplo de ello es la implantación de los teclados virtuales para el registro de los usuarios. De esta manera, se evita que un ciberatacante capture mediante keylogging los datos introducidos por el usuario en el teclado físico.
Por otro lado, los desarrolladores han implementado barreras y mecanismos para que la inyección del código en los navegadores sea cada vez más compleja. Por eso, tal y como veníamos señalando, los ciberatacantes han puesto últimamente sus esfuerzos en otro de tipo de ataques más sencillos y rentables para ellos, como el ransomware o el cryptojacking.
Sin embargo, en las últimas semanas los troyanos bancarios han vuelto a coger fuerza, mediante nuevas técnicas alternativas a la infiltración directa en los navegadores. Ese es el caso de BackSwap, un nuevo troyano que ha llegado España y a nuestras entidades bancarias y que puede ser una amenaza para nuestra empresa mediante aquellos empleados que tienen más contacto con ellas. Pero, ¿cómo funciona BackSwap?
BackSwap y sus nuevas técnicas
BackSwap es una variante mejorada y actualizada del malware Tinba, desarrollado en 2015. Este destacaba por su pequeño tamaño (entre 10 y 50 Kb) y su capacidad para capturar las credenciales del usuario. Como descubrieron investigadores de ESET, la diferencia de BackSwap con su antecesor y otros troyanos bancarios que inyectan código malicioso como Zbot, Gozi o Dridex, está en su método, que sortea las barreras de los navegadores y puede ser más difícil de detectar para las soluciones de ciberseguridad menos actualizadas. En este sentido, BackSwap usa tres técnicas novedosas:
- Detecta cuándo el usuario está accediendo online a una entidad financiera mediante un mecanismo nativo de Windows llamado “bucle de mensajes”: BackSwap hace clic en el bucle de mensajes de Windows para buscar patrones similares a una URL, como cadenas “https” y otros términos relacionados con el nombre de un banco.
- Una vez detecta que el navegador está accediendo y cargando un sitio web relacionado con la banca, BackSwap procede a manipular el contenido cargado, pero no inyecta código directamente dentro del navegador, sino que simula las pulsaciones de teclas de un usuario y hace un copiado-pegado del código desde el portapapeles a la consola del desarrollador. Todo ello se realiza de manera invisible para el usuario.
- Por último, un método alternativo y que parece usar más a menudo que la técnica anterior, es la simulación de presionar teclas en la misma barra de dirección del navegador: simula escribir una cadena Javascript, pega el código malicioso y presiona enter virtualmente para ejecutar el código. De nuevo, todo ello no aparece ante la pantalla del usuario ni deja rastro en el historial.
¿Cómo podemos prevenirlo?
Tal y como ocurre con otros troyanos bancarios como Trickbot, que analizamos anteriormente, el principal vector de ataque de BackSwap es el correo electrónico. La mayoría de su propagación se debe a spam que contiene archivos maliciosos como documentos de Word adjuntos donde está insertado el malware. Una vez ejecutado el archivo, se mantiene instalado en el equipo y espera a que la víctima acceda online a la entidad bancaria.
Por ello, la principal medida de prevención continúa siendo la prudencia de los empleados ante emails sospechosos que contienen archivos, especialmente para aquellos entre cuyas funciones se encuentran la relación más estrecha con entidades financieras, como los CFO y los miembros del equipo de administración y contabilidad. No hay que olvidar que el concepto “Factura” fue la causa de 6 de las 10 campañas de phishing más efectivas de 2018.
Asimismo, conviene contar con soluciones de ciberseguridad avanzadas de monitorización 360 como Panda Adaptive Defense. Por un lado, hace un escaneo completo de todos los mails y archivos adjuntos en tiempo real en el momento de entrada al buzón de la empresa y, por otro, realiza una monitorización constante del uso de la web por parte de nuestros empleados detectando cualquier actividad sospechosa en los navegadores de sus equipos. Soluciones avanzadas como Adaptive Defense permiten reducir al mínimo el posible impacto negativo de troyanos bancarios tan complejos como BackSwap.