Der Metamorfo Banking-Trojaner deaktiviert die automatische Vervollständigung, um die eingegebenen Kennwörter aufzuzeichnen
Während andere Bedrohungen im Laufe der Jahre aufgetaucht sind und verschwunden sind, sind Banktrojaner bei Cyberkriminellen ein fester Favorit geblieben, und obwohl einige Stämme wie Ursnif den Ruf einer effizienten Datenexfiltration haben, sind die Gauner immer noch bereit, neuen Marktteilnehmern eine Chance zu geben. Metamorfo ist eine der jüngsten Entwicklungen in der Banken-Malware-Szene, und es sieht so aus, als würde es ziemlich schnell die Zustimmung der Hacker finden.
Forscher von Fortinet schrieben zum ersten Mal im Januar über Metamorfo, als sich die Malware ausschließlich an Benutzer in Brasilien richtete. Letzte Woche gaben die Experten jedoch an , dass sie eine neue Variante gesehen haben, die in "mehreren" Ländern vertrieben wird. Sie zogen es vor, keine Liste der Zielfinanzinstitute zu veröffentlichen, doch ihrem Bericht zufolge liegen die meisten Ziele in Nord- und Südamerika.
Table of Contents
Eine ziemlich traditionelle Infektionskette
Die Art und Weise, wie Metamorfo den Computer eines Opfers infiziert, ist nicht besonders aktuell. Die Gauner verwenden Social Engineering, um Benutzer zum Öffnen einer ZIP-Datei zu verleiten, die an eine unerwünschte E-Mail angehängt ist. Darin befindet sich ein Windows Installer, der einige Dateien von einem von Hackern kontrollierten Server herunterlädt und den Trojaner installiert. Die Dateien werden in einem zufällig benannten Ordner auf dem Systemlaufwerk abgelegt, und die Persistenz wird mithilfe einer Änderung der Windows-Registrierung erreicht.
Bevor der böswillige Vorgang gestartet wird, kontaktiert Metamorfo seinen Command & Control-Server (C & C) und sendet Informationen über den infizierten Host, einschließlich des Computernamens, der Version des Betriebssystems und einer Liste der installierten Sicherheitsprodukte. So weit, so konventionell, aber die nächsten Schritte zeigen, dass Metamorfo weit davon entfernt ist, einen traditionellen Banktrojaner einfach umzuschreiben.
Metamorfo sucht sowohl echtes als auch kryptografisches Geld
Es sieht so aus, als ob die Betreiber von Metamorfo nicht damit zufrieden sind, nur die Bankausweise der Opfer zu stehlen. Nach der Installation aktiviert die Malware eine Funktion zur Überwachung der Zwischenablage, die alle Daten durchsucht, die der Benutzer kopiert. Wenn eine alphanumerische Zeichenfolge erkannt wird, die wie eine Bitcoin-Adresse aussieht, wird sie gegen die Adresse der Geldbörse des Angreifers ausgetauscht, während sie sich noch in der Zwischenablage befindet.
Brieftaschenadressen sind zwischen 26 und 35 Zeichen lang, was bedeutet, dass die meisten Leute normalerweise die Adresse kopieren, wenn sie eine Bitcoin-Transaktion durchführen möchten. Die Entwickler von Metamorfo hoffen, dass die Benutzer nicht bemerken, dass die Zeichenfolge geändert wurde, und die digitalen Münzen versehentlich an die Geldbörse der Gauner senden. Auch beim Diebstahl von Online-Banking-Passwörtern ist die Strategie gut durchdacht.
Eine deaktivierte Auto-Vervollständigungsfunktion und ein einfacher Keylogger führen zu gestohlenen Passwörtern
Sie wissen, dass moderne Browser beim Eingeben einer URL in die Adressleiste Vorschläge liefern, die Sie in Ihrem Browserverlauf finden. Für viele bedeutet das Aufrufen ihrer Online-Banking-Plattform, ein paar Buchstaben in die Adressleiste einzugeben und die Eingabetaste zu drücken. Moderne Browser bieten auch Funktionen zur Passwortverwaltung, dh, sobald sie auf der Website der Bank sind, wählen Benutzer, die ihre Anmeldeinformationen mit ihren Browsern gespeichert haben, einfach den richtigen Vorschlag aus, und ihr Benutzername und ihr Passwort werden automatisch eingegeben. Wenn ihre Computer mit Metamorfo infiziert sind, geschieht dies nicht.
Nachdem Metamorfo auf einem Host Fuß gefasst hat, nimmt Metamorfo einige Änderungen an der Registrierung vor, die die Funktion zum automatischen Ausfüllen der meisten modernen Browser deaktivieren. Infolgedessen müssen Benutzer die vollständige URL ihrer Bank-Website eingeben (sofern sie diese nicht als Lesezeichen gespeichert haben) und ihren Benutzernamen und ihr Kennwort manuell eingeben. Währenddessen zeichnet Metamorfo die Anmeldedaten mit Hilfe einer Keylogger-Komponente auf und sendet sie an dieC&C der Gauner.
Ein cleverer Banktrojaner, der ein paar andere Asse im Ärmel hat
Aus technischer Sicht ist diese Methode viel einfacher als die herkömmlicheren Mechanismen zum Extrahieren von Anmeldeinformationen, sie könnte jedoch genauso effektiv sein. In der Tat werden die Benutzer wahrscheinlich bemerken, dass die automatische Vervollständigung ihres Browsers nicht funktioniert, aber sie werden wahrscheinlich annehmen, dass dies ein vorübergehender Fehler ist, und ihre Details manuell eingeben. Die Funktionsweise des Bitcoin-Umleitungsbetrugs ist ebenso einfach. Dies bedeutet jedoch nicht, dass der allgemeine Entwicklungsstand niedrig ist.
Laut Fortinets Forschern kann Metamorfo insgesamt 119 Befehle ausführen, darunter das Herunterfahren und Neustarten des Computers, das Bewegen des Mauszeigers und das Anzeigen gefälschter Fehlermeldungen. Mit anderen Worten, Metamorfo ist ein äußerst vielseitiger Banking-Trojaner mit Funktionen, die weit über das bloße Stehlen von Anmeldeinformationen und das Umleiten von Bitcoins hinausgehen. Es mag neu sein, aber es ist definitiv nicht zu riechen.