Metamorfo Banking Trojan deaktiverer automatisk udfyldning for at registrere de adgangskoder, du skriver i

Mens andre trusler er kommet og gået gennem årene, har banktrojaner forblevet en favorit blandt cyberkriminelle, og selvom nogle af stammerne som Ursnif har etableret et ry for effektiv dataudfiltrering, er skurkerne stadig villige til at give nye deltagere en chance. Metamorfo er en af de nyere ankomster på malware-scenen for banker, og det ser ud til, at det muligvis får hackernes godkendelse ret hurtigt.

Forskere fra Fortinet skrev først om Metamorfo i januar, da malware udelukkende var rettet mod brugere i Brasilien. I sidste uge sagde eksperterne imidlertid, at de har set en ny variant distribueret i "flere" lande. De foretrak ikke at offentliggøre en liste over målrettede finansielle institutioner, men deres rapport antyder, at de fleste af målene ligger i Nord- og Sydamerika.

En ret traditionel infektionskæde

Der er ikke noget særlig nyhedsværd ved den måde, Metamorfo inficerer et offer's computer. Skurkerne bruger social engineering til at narre brugerne til at åbne en ZIP-fil knyttet til en uopfordret e-mail. Inde i den er der en Windows Installer, der downloader et par filer fra en hacker-kontrolleret server og installerer trojanen. Filerne dumpes i en tilfældigt navngivet mappe på systemdrevet, og vedholdenheden opnås ved hjælp af en ændring af Windows 'registreringsdatabase.

Inden den ondsindede handling begynder, kontakter Metamorfo sin Command&Control-server (C&C) og sender oplysninger om den inficerede vært, herunder computernavnet, versionen af operativsystemet og en liste over installerede sikkerhedsprodukter. Indtil videre så konventionel, men de næste trin viser, at Metamorfo langt fra er en enkel omskrivning af en traditionel bank-trojan.

Metamorfo er efter både rigtige og kryptopenge

Det ser ud til, at Metamorfos operatører ikke er tilfredse med at stjæle ofrenes bankoplysninger. Når den er installeret, aktiverer malware en klippebordovervågningsfunktion, der scanner gennem alle bit af data, som brugeren kopierer. Hvis det registrerer en alfanumerisk streng, der ligner en bitcoin-adresse, bytter den den for adressen på angriberen's tegnebog, mens den stadig er på udklipsholderen.

Pungeadresser er mellem 26 og 35 tegn lange, hvilket betyder, at de fleste mennesker normalt kopierer adressen, når de vil foretage en bitcoin-transaktion. Metamorfos udviklere håber, at brugerne ikke vil bemærke, at strengen er blevet ændret og uforvarende ville sende de digitale mønter til skurkenes tegnebog. Når det kommer til tyveri af online-bankadgangskoder, er strategien lige så gennemtænkt.

En deaktiveret automatisk komplet funktion og en simpel keylogger resulterer i stjålne adgangskoder

Du ved, at når du begynder at indtaste en URL i din adresselinje, giver moderne browsere dig forslag, der findes i din browserhistorik. For mange betyder at gå til deres online bankplatform at skrive et par breve i adresselinjen og trykke på Enter. Moderne browsere tilbyder også adgangskodestyringsfunktionalitet, hvilket betyder, at når de først er på bankens websted, skal brugere, der har gemt deres legitimationsoplysninger med deres browsere, bare vælge det rigtige forslag, og deres brugernavn og adgangskoder udfyldes automatisk. Hvis deres computere er inficeret med Metamorfo, sker dette ikke.

Når den har etableret fodfæste hos en vært, foretager Metamorfo et par ændringer i registreringsdatabasen, som deaktiverer auto-fill-funktionaliteten i de fleste moderne browsere. Som et resultat skal brugere indtaste den fulde URL på deres bankwebsite (hvis de ikke har gemt det som et bogmærke), og de skal også manuelt indtaste deres brugernavn og adgangskode. Mens de gør det, registrerer Metamorfo login-dataene ved hjælp af en keylogger-komponent og sender dem til skurkenes C&C.

En smart banktrojan, der har et par andre esser op i ærmet

Fra et teknisk perspektiv er denne metode meget enklere end de mere traditionelle mekanismer til at udtrække loginoplysninger, men den kunne være lige så effektiv. Faktisk vil brugerne sandsynligvis bemærke, at deres browsers auto-komplette funktionalitet ikke fungerer, men de antager sandsynligvis, at dette er en midlertidig fejl og vil indtaste deres detaljer ved hånden. Arbejdet med bitcoin-omdirigeringsfusk er lige ligetil. Dette betyder dog ikke, at det overordnede niveau af raffinement er lavt.

Fortinets forskere sagde, at Metamorfo er i stand til at udføre i alt 119 kommandoer, som inkluderer lukning og genstart af computeren, flytning af musemarkøren og visning af falske fejlmeddelelser. Med andre ord er Metamorfo en ekstremt alsidig bank-trojan med funktionalitet, der strækker sig langt ud over blot at stjæle loginoplysninger og omdirigere bitcoins. Det kan være nyt, men det er bestemt ikke at blive sniffet på.