Эксперты безопасности ESET обнаружили троян, использующий новый способ кражи средств с банковских счетов. Он работает с элементами графического интерфейса Windows и имитирует нажатие клавиш, чтобы избежать обнаружения и обойти защиту браузера, сообщил портал mail.ru.
В отличие от большинства аналогичных программ BackSwap не внедряет код в процессы браузера для отслеживания посещений страниц онлайн-банкинга.
Вместо этого он «узнает», когда пользователь заходит в онлайн-банк, с помощью событий Windows в цикле ожидания сообщений. Обнаружив работу с интернет-банком, троян внедряет вредоносный код в веб-страницу через консоль разработчика в браузере или в адресную строку.
Затем BackSwap имитирует нажатие сочетаний клавиш, будто их нажал пользователь. Он «нажимает» CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. После троян очищает адресную строку, чтобы скрыть следы взлома.
Для вируса уязвимы браузеры Google Chrome и Mozilla Firefox, а также Internet Explorer.
Метод подходит для большинства браузеров с консолью разработчика или возможностью выполнения кода JavaScript из адресной строки (это стандартные функции браузера). Троян не требует специальных привилегий в системе и не зависит от версии браузера.
Он в основном отслеживает перевод крупных сумм — от $2 тысяч и выше. Пока угрозу зафиксировали в Польше, но специалисты уверены, что список потенциальных жертв может расшириться, а новый способ обхода защитных механизмов могут использовать другие группы хакеров и мошенников.