Ο Trojan Banking Metamorfo απενεργοποιεί την αυτόματη συμπλήρωση για να καταγράψει τους κωδικούς πρόσβασης στους οποίους πληκτρολογείτε

Metamorfo Banking Trojan

Ενώ άλλες απειλές έχουν έρθει και έχουν περάσει καθ 'όλη τη διάρκεια των ετών, τα τραπεζικά trojans έχουν παραμείνει σταθερό φαβορί με τους κυβερνοεγκληματίες και παρόλο που μερικά από τα στελέχη όπως το Ursnif έχουν εδραιώσει τη φήμη τους για την αποτελεσματική απομάκρυνση των δεδομένων, οι απατεώνες είναι ακόμα πρόθυμοι να δώσουν στους νεοεισερχομένους. Η Metamorfo είναι μια από τις πιο πρόσφατες αφίξεις στην κακόβουλη τραπεζική σκηνή και μοιάζει να μπορεί να κερδίσει την έγκριση των χάκερ αρκετά γρήγορα.

Οι ερευνητές από την Fortinet έγραψαν για πρώτη φορά τον Ιανουάριο για το Metamorfo, όταν το κακόβουλο λογισμικό απευθυνόταν αποκλειστικά σε χρήστες στη Βραζιλία. Την περασμένη εβδομάδα, ωστόσο, οι εμπειρογνώμονες δήλωσαν ότι έχουν δει μια νέα παραλλαγή που διανέμεται σε "πολλαπλές" χώρες. Προτίμησαν να μην δημοσιεύσουν μια λίστα με στοχοθετημένα χρηματοπιστωτικά ιδρύματα, αλλά η έκθεσή τους δείχνει ότι οι περισσότεροι από τους στόχους βρίσκονται στη Βόρεια και Νότια Αμερική.

Μια αρκετά παραδοσιακή αλυσίδα λοίμωξης

Δεν υπάρχει τίποτα ιδιαίτερα ενδιαφέρον για τον τρόπο με τον οποίο ο Metamorfo μολύνει τον υπολογιστή του θύματος. Οι απατεώνες χρησιμοποιούν την κοινωνική μηχανική για να εξαπατήσουν τους χρήστες να ανοίξουν ένα αρχείο ZIP προσαρτημένο σε ένα ανεπιθύμητο ηλεκτρονικό ταχυδρομείο. Μέσα σε αυτό, υπάρχει ένας Windows Installer που κατεβάζει μερικά αρχεία από έναν ελεγχόμενο από hacker διακομιστή και εγκαθιστά τον trojan. Τα αρχεία απορρίπτονται σε έναν τυχαία κατονομαζόμενο φάκελο στη μονάδα συστήματος και η επιμονή επιτυγχάνεται με τη βοήθεια μιας τροποποίησης του μητρώου των Windows.

Πριν αρχίσει η κακόβουλη λειτουργία, η Metamorfo επικοινωνεί με τον διακομιστή Command & Control (C & C) και στέλνει πληροφορίες σχετικά με τον μολυσμένο κεντρικό υπολογιστή, συμπεριλαμβανομένου του ονόματος του υπολογιστή, της έκδοσης του λειτουργικού συστήματος και μια λίστα εγκατεστημένων προϊόντων ασφαλείας. Μέχρι στιγμής, τόσο συμβατικά, αλλά τα επόμενα βήματα δείχνουν ότι το Metamorfo απέχει πολύ από μια απλή επανεγγραφή ενός παραδοσιακού τραπεζικού δούρειου trojan.

Το Metamorfo είναι μετά από πραγματικά χρήματα και κρυπτογράφηση

Φαίνεται ότι οι φορείς εκμετάλλευσης της Metamorfo δεν είναι ικανοποιημένοι με το να κλέβουν μόνο τα τραπεζικά διαπιστευτήρια των θυμάτων. Μόλις εγκατασταθεί, το κακόβουλο πρόγραμμα ενεργοποιεί μια λειτουργία παρακολούθησης του προχείρου, η οποία σαρώνει μέσω κάθε bit δεδομένων που αντιγράφει ο χρήστης. Εάν ανιχνεύσει μια αλφαριθμητική συμβολοσειρά που μοιάζει με μια διεύθυνση bitcoin, την αντικαθιστά για τη διεύθυνση του πορτοφολιού του εισβολέα, ενώ βρίσκεται ακόμα στο πρόχειρο.

Οι διευθύνσεις του Πορτοφολιού έχουν μήκος μεταξύ 26 και 35 χαρακτήρων, πράγμα που σημαίνει ότι οι περισσότεροι άνθρωποι συνήθως αντιγράφουν τη διεύθυνση όταν θέλουν να πραγματοποιήσουν συναλλαγή bitcoin. Οι προγραμματιστές της Metamorfo ελπίζουν ότι οι χρήστες δεν θα παρατηρήσουν ότι η συμβολοσειρά έχει αλλάξει και θα στείλει ακούσια τα ψηφιακά κέρματα στο πορτοφόλι του απατεώνες. Όταν πρόκειται για την κλοπή των κωδικών ηλεκτρονικής τραπεζικής, η στρατηγική είναι εξίσου καλά μελετημένη.

Μια απενεργοποιημένη λειτουργία αυτόματης συμπλήρωσης και ένα απλό keylogger οδηγούν σε κλεμμένους κωδικούς πρόσβασης

Γνωρίζετε ότι όταν αρχίζετε να πληκτρολογείτε μια διεύθυνση URL στη γραμμή διευθύνσεων, τα σύγχρονα προγράμματα περιήγησης σας δίνουν προτάσεις που βρίσκονται στο ιστορικό περιήγησης. Για πολλούς, η μετάβαση στην πλατφόρμα ηλεκτρονικής τραπεζικής σημαίνει την πληκτρολόγηση μερικών γραμμάτων στη γραμμή διευθύνσεων και το χτύπημα Enter. Τα σύγχρονα προγράμματα περιήγησης προσφέρουν επίσης λειτουργικότητα διαχείρισης κωδικών πρόσβασης, πράγμα που σημαίνει ότι μόλις βρεθούν στην ιστοσελίδα της τράπεζας, οι χρήστες που έχουν αποθηκεύσει τα διαπιστευτήριά τους με τα προγράμματα περιήγησής τους επιλέγουν μόνο τη σωστή πρόταση και τα ονόματα και οι κωδικοί πρόσβασης τους συμπληρώνονται αυτόματα. Εάν οι υπολογιστές τους έχουν μολυνθεί με το Metamorfo, αυτό δεν θα συμβεί.

Αφού δημιουργήσει μια βάση σε έναν κεντρικό υπολογιστή, το Metamorfo κάνει μερικές αλλαγές στο μητρώο, οι οποίες απενεργοποιούν τη λειτουργία αυτόματης συμπλήρωσης των περισσότερων σύγχρονων προγραμμάτων περιήγησης. Ως αποτέλεσμα, οι χρήστες πρέπει να εισάγουν την πλήρη διεύθυνση URL του τραπεζικού ιστότοπού τους (αν δεν το έχουν αποθηκεύσει ως σελιδοδείκτη) και πρέπει επίσης να πληκτρολογήσουν με μη αυτόματο τρόπο το όνομα χρήστη και τον κωδικό πρόσβασής τους. Ενώ το κάνουν, η Metamorfo καταγράφει τα δεδομένα σύνδεσης με τη βοήθεια ενός εξαρτήματος του keylogger και τα στέλνει στοC&C του απατεώνας.

Ένας έξυπνος τραπεζικός trojan που έχει μερικούς άλλους άσσους επάνω στο μανίκι του

Από τεχνική άποψη, αυτή η μέθοδος είναι πολύ πιο απλή από τους πιο παραδοσιακούς μηχανισμούς για την εξαγωγή των πληροφοριών σύνδεσης, αλλά θα μπορούσε να είναι εξίσου αποτελεσματικός. Πράγματι, οι χρήστες πιθανόν θα παρατηρήσουν ότι η αυτόματη πλήρης λειτουργικότητα του προγράμματος περιήγησης δεν λειτουργεί, αλλά πιθανότατα θα υποθέσουν ότι πρόκειται για προσωρινή σφάλμα και θα εισαγάγουν τα στοιχεία τους με το χέρι. Η λειτουργία της απάτης ανακατεύθυνσης bitcoin είναι εξίσου απλή. Αυτό δεν σημαίνει ότι το συνολικό επίπεδο πολυπλοκότητας είναι χαμηλό.

Οι ερευνητές της Fortinet δήλωσαν ότι η Metamorfo είναι σε θέση να εκτελέσει συνολικά 119 εντολές, οι οποίες περιλαμβάνουν κλείσιμο και επανεκκίνηση του υπολογιστή, μετακίνηση του δρομέα του ποντικιού και εμφάνιση ψευδών μηνυμάτων λάθους. Με άλλα λόγια, το Metamorfo είναι ένα εξαιρετικά ευέλικτο τραπεζικό δούρειο trojan με λειτουργικότητα που εκτείνεται πέρα από το απλά κλέβοντας τα διαπιστευτήρια σύνδεσης και την ανακατεύθυνση bitcoins. Μπορεί να είναι καινούργιο, αλλά σίγουρα δεν πρέπει να το θυμοθούμε.

February 7, 2020

Αφήστε μια απάντηση