A Metamorfo Banking Trojan letiltja az automatikus kitöltést a beírt jelszavak rögzítéséhez

Metamorfo Banking Trojan

Míg más fenyegetések jöttek és mentek keresztül az évek során, a bankjegy- trójaiak továbbra is a kedvenc számítógépes bűnözők körében, és bár az olyan törzsek, mint az Ursnif, hírnevet nyertek a hatékony adatkifűtés szempontjából, a csalók továbbra is hajlandók új belépők számára. A Metamorfo az utóbbi időben érkezett a banki malware jelenetre, és úgy tűnik, hogy valószínűleg gyorsan megszerezi a hackerek jóváhagyását.

A Fortinet kutatói először januárban írták a Metamorfo-ról, amikor a rosszindulatú program kizárólag Brazília felhasználóit célozta meg. A múlt héten azonban a szakértők azt állították, hogy új változatot láttak el "több" országban. Sokkal inkább a célzott pénzügyi intézmények listájának közzétételét nem tették közzé, ám jelentésük szerint a legtöbb cél Észak- és Dél-Amerikában található.

Meglehetősen hagyományos fertőzési lánc

Nincs semmi különösebb hír, hogy a Metamorfo megfertőzte az áldozat számítógépét. A csalók a szociális mérnökök segítségével becsapják a felhasználókat egy kéretlen e-mailhez csatolt ZIP fájl megnyitásához. Benne van egy Windows Installer, amely letölt egy fájlt egy hackerek által vezérelt szerverről, és telepíti a trójai. A fájlokat egy véletlenszerűen elnevezett mappába helyezik a rendszermeghajtón, és a kitartást a Windows rendszerleíró adatbázisának módosítása révén érik el.

A rosszindulatú művelet megkezdése előtt a Metamorfo felveszi a kapcsolatot a Command & Control szerverrel (C&C), és információkat küld a fertőzött gazdagépről, ideértve a számítógép nevét, az operációs rendszer verzióját és a telepített biztonsági termékek listáját. Eddig olyan szokásos, de a következő lépések azt mutatják, hogy a Metamorfo messze van a hagyományos banki trójai egyszerű átírásától.

A Metamorfo valódi és rejtjelező pénzt is kap

Úgy tűnik, hogy a Metamorfo operátorai nem elégedettek az áldozatok kizárólagos banki adatainak lopásával. A telepítés után a rosszindulatú program aktiválja a vágólap figyelő funkcióját, amely beolvassa a felhasználó által összes másolt adatot. Ha olyan alfanumerikus karaktersorozatot észlel, amely úgy néz ki, mint egy bitcoin cím, akkor cserélje ki a támadó pénztárcájának címére, miközben még mindig a vágólapon van.

A pénztárca címei 26 és 35 karakter hosszúak, ami azt jelenti, hogy a legtöbb ember általában akkor másolja a címet, amikor bitcoin-tranzakciót akar végrehajtani. A Metamorfo fejlesztői abban reménykednek, hogy a felhasználók nem fogják észrevenni, hogy a karakterlánc megváltozott, és véletlenül elküldik a digitális érméket a csalók pénztárcájához. Az online banki jelszavak ellopásakor a stratégia ugyanolyan jól átgondolt.

A letiltott automatikus teljes funkció és az egyszerű keylogger lopott jelszavakat eredményez

Tudod, hogy amikor elkezdi gépelni egy URL-t a címsorba, a modern böngészők javaslatokat nyújtanak a böngészési előzményekben. Sokak számára az online banki platformra való belépés azt jelenti, hogy beír egy pár betűt a címsorba, és benyomja az Enter billentyűt. A modern böngészők jelszókezelési funkciókat is kínálnak, ami azt jelenti, hogy a bank webhelyén való megjelenés után azok a felhasználók, akik a hitelesítő adataikat a böngészőjükkel mentették, csak a megfelelő javaslatot választják ki, és felhasználónevüket és jelszavaikat automatikusan kitöltik. Ha a számítógépüket megfertőzik a Metamorfo, akkor ez nem történik meg.

Miután megteremtette a lábát a gazdagépen, a Metamorfo néhány változtatást hajt végre a rendszerleíró adatbázisban, amely letiltja a legtöbb modern böngésző automatikus kitöltési funkcióját. Ennek eredményeként a felhasználóknak meg kell adniuk banki webhelyük teljes URL-jét (ha még nem mentették el könyvjelzőként), és manuálisan kell beírniuk felhasználónevüket és jelszavakat is. Mialatt ezt megtették, a Metamorfo a keylogger összetevő segítségével rögzíti a bejelentkezési adatokat, és elküldi azokat a bűnözők C&C-hez.

Okos banki trójai, amelynek még néhány ász fel van húzva

Technikai szempontból ez a módszer sokkal egyszerűbb, mint a bejelentkezési adatok kinyerésére szolgáló hagyományosabb mechanizmusok, de ugyanolyan hatékony lehet. Valójában a felhasználók valószínűleg észreveszik, hogy böngészőjük automatikus kiegészítése nem működik, de valószínűleg feltételezik, hogy ez egy ideiglenes hiba, és kézzel írják be adataikat. A bitcoin-átirányítási csalás működése ugyanolyan egyszerű. Ez azonban nem azt jelenti, hogy az általános kifinomultság alacsony.

A Fortinet kutatói szerint a Metamorfo összesen 119 parancsot képes végrehajtani, amelyek magukban foglalják a számítógép leállítását és újraindítását, az egér kurzorának mozgatását és a hamis hibaüzenetek megjelenítését. Más szavakkal: a Metamorfo rendkívül sokoldalú banki trójai, olyan funkcionalitással, amely messze túlmutat a bejelentkezési adatok ellopásával és a bitcoin átirányításával. Lehet, hogy új, de határozottan nem szabad szimatolni.

February 7, 2020

Válaszolj