Raz jeszcze „Faktura elektroniczna z firmy TNT Express”: W spamie znajdował się trojan bankowy atakujący klientów polskich banków

25 maja 2018

Dwa dni temu, tj. 23 maja informowaliśmy o nowej kampanii spamu zawierającej podejrzany załącznik z wiadomością podszywającą się pod firmę kurierską TNT Express. Złośliwym załącznikiem okazał się trojan bankowy BackSwap, którego przeanalizowano w firmie Eset. Analitycy zagrożeń z krakowskiego laboratorium odkryli, że trojan bankowy modyfikuje numery rachunków w przelewach internetowych pięciu największych polskich banków (mBank, ING Bank Śląski, BZ WBK, PKO BP, Pekao SA).

Zagrożenie, jak już wspomniano, jest dystrybuowane za pośrednictwem fałszywej wiadomości z rzekomą fakturą:

Trojan bankowy BackSwap spam

Działanie trojana bankowego polega na stałym monitorowaniu zachowania użytkownika w przeglądarce internetowej. W momencie, gdy BackSwap wykryje, że ofiara otwiera stronę swojego banku, sprawdza, czy znajduje się na zdefiniowanej przez cyberprzestępców liście celów. Jeśli tak jest, dokonuje wszczepienia złośliwego skryptu (albo do konsoli w przeglądarce, albo bezpośrednio do paska adresowego widocznego w oknie przeglądarki). Kiedy klient banku wykonuje przelew na kwotę większą niż 10 tysięcy złotych, skrypt niezauważalnie podmienia numer konta i pieniądze trafiają bezpośrednio do cyberprzestępcy.

– komentuje Paweł Śmierciak z ESET.

Początkowo BackSwap w swoim działaniu był podobny do innego trojana bankowego wykrytego w kwietniu przez CERT Polska. Autor lub autorzy trojana eksperymentowali wcześniej z kradzieżą portfeli kryptowalut. Później przerzucili się na konta bankowe ciągle ulepszając technikę kradzieży pieniędzy. Ostatnio dodana funkcja sprawdzała wysokości przelewów — trojan atakował tylko wtedy, jeżeli przelew wykonywany był na co najmniej 10 000zł.

Trojan bankowy BackSwap analiza

Trojan bankowy BackSwap: Jak chronić swoje finanse?

Przede wszystkim zalecamy ostrożność podczas otwierania podejrzanych załączników. Jeżeli korzystacie z oprogramowania antywirusowego Eset, to przygotowaliśmy dla was poradnik, dzięki któremu w kilku krokach zwiększycie ochronę swoich komputerów. Niestety oprogramowanie Eset nie posiada włączonych wszystkich istotnych funkcji zabezpieczających, dlatego tym bardziej zachęcamy do przeczytania tego artykułu.

Pozostałych użytkowników prosimy o uruchomienie skanera antywirusowego on-line firmy Eset. Zagrożenie zostało już dodane do bazy wirusów producenta, a szybkie skanowanie jeszcze nikomu nie zaszkodziło.

Kilka sum kontrolnych próbek trojana:

9BC4C1D5403DDD90712CE87225490A21D1EDC516 JS/Nemucod.EAN trojan
CF5A74C268661501156663F74CD5E20603B0F261 Win32/BackSwap.A trojan
6251F9AD0E5F551AC4A6B918EF366E86C4CCFDC4 Win32/BackSwap.A trojan
2DC9760A7C6E9D261C73EFB7B2604840734BC058 Win32/BackSwap.A trojan
A68901D0D8C1247FF280F9453E3AE45687C57566 Win32/BackSwap.A trojan (JavaScript)
aefacfbd638ee918fb2918f3ba94775447d27e3c596e8c8259a9485985714135

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
2 komentarzy
Inline Feedbacks
View all comments
Dawid
Dawid
2 lat temu

Całkiem niezła ta nowa technika trochę bardziej opisana na portalu z tej samej branży. Niech teraz nikt nie wmawia że antywirusy nie są potrzebne. Wbudowany windows defender nie blokował tego trojana. I co wtedy? Chyba liczyć na łud szczęścia,że nic groźnego się nie wydarzy.

Contral
Contral
2 lat temu

W zeszłym roku było sporo tego spamu z wirusami. Wirusy były oczywiście w załącznikach. Chodziło o jakieś faktury czy inne „druczki”. Dobra rada jest taka, że jeżeli masz słabego antywirusa i jak nie wiesz o co chodzi to nie otwieraj załączników tylko wywal to do kosza.

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone