Po raz pierwszy aktywność oprogramowania BackSwap odnotowano na początku 2018 roku. Wówczas atakowało ono serwisy pośredniczące w wymianie kryptowalut. Na początku marca jednak zaczęło interesować się tradycyjną bankowością internetową. Eksperci z ESET uważają, że oprogramowanie atakuje pięć banków: mBank, ING Bank Śląski, BZ WBK, PKO BP i Pekao SA.
W wiadomości e-mail wysyłany jest zainfekowany załącznik, któy przypomina fakturę. Jeżeli go otworzymy na naszym komputerze rozpocznie się instalacja BackSwap. Później złośliwe oprogramowanie stale monitoruje zachowanie użytkownika w przeglądarce internetowej. Gdy BackSwap zauważy, że ofiara otwiera stronę banków, sprawdza czy znajduje się na liście celów i jeżeli tak jest wszczepia złośliwy skrypt.
– Kiedy klient banku wykonuje przelew na kwotę większą niż 10 tys zł, skrypt niezauważalnie podmienia numer konta i pieniądze trafiają bezpośrednio do cyberprzestępcy – tłumaczy mechanizm działania zagrożenia Paweł Śmierciak z ESET.