Il Trojan bancario Metamorfo disabilita il completamento automatico per registrare le password digitate
Mentre altre minacce sono andate e sono andate avanti nel corso degli anni, i trojan bancari sono rimasti uno dei preferiti dai criminali informatici e, sebbene alcuni ceppi come Ursnif si siano affermati per l'efficiente esfiltrazione dei dati, i truffatori sono ancora disposti a provare i nuovi concorrenti. Metamorfo è uno degli arrivi più recenti sulla scena del malware bancario e sembra che potrebbe ottenere l'approvazione degli hacker abbastanza rapidamente.
I ricercatori di Fortinet hanno scritto per la prima volta di Metamorfo a gennaio, quando il malware era destinato esclusivamente agli utenti in Brasile. La scorsa settimana, tuttavia, gli esperti hanno dichiarato di aver visto una nuova variante distribuita in "più" paesi. Hanno preferito non pubblicare un elenco di istituti finanziari interessati, ma il loro rapporto suggerisce che la maggior parte degli obiettivi sono situati nel Nord e nel Sud America.
Table of Contents
Una catena di infezione abbastanza tradizionale
Non c'è nulla di particolarmente interessante nel modo in cui Metamorfo infetta il computer di una vittima. I truffatori usano il social engineering per indurre gli utenti ad aprire un file ZIP allegato a un'e-mail indesiderata. Al suo interno, c'è un Windows Installer che scarica alcuni file da un server controllato dagli hacker e installa il trojan. I file vengono scaricati in una cartella denominata in modo casuale sull'unità di sistema e la persistenza si ottiene con l'aiuto di una modifica del registro di Windows.
Prima dell'inizio dell'operazione dannosa, Metamorfo contatta il suo server Command & Control (C&C) e invia informazioni sull'host infetto, incluso il nome del computer, la versione del sistema operativo e un elenco di prodotti di sicurezza installati. Finora, così convenzionale, ma i prossimi passi mostrano che Metamorfo è tutt'altro che una semplice riscrittura di un trojan bancario tradizionale.
Metamorfo è alla ricerca di denaro reale e criptato
Sembra che gli operatori di Metamorfo non siano soddisfatti del rubare solo le credenziali bancarie delle vittime. Una volta installato, il malware attiva una funzionalità di monitoraggio degli appunti, che analizza ogni bit di dati che l'utente copia. Se rileva una stringa alfanumerica che assomiglia a un indirizzo bitcoin, lo scambia con l'indirizzo del portafoglio dell'attaccante mentre è ancora negli Appunti.
Gli indirizzi di Wallet hanno una lunghezza compresa tra 26 e 35 caratteri, il che significa che la maggior parte delle persone di solito copia l'indirizzo quando desidera effettuare una transazione bitcoin. Gli sviluppatori di Metamorfo sperano che gli utenti non notino che la stringa è stata cambiata e che invieranno inavvertitamente le monete digitali al portafoglio dei criminali. Quando si tratta del furto di password di banking online, la strategia è altrettanto ben ponderata.
Una funzione di completamento automatico disabilitata e un semplice keylogger generano password rubate
Sai che quando inizi a digitare un URL nella barra degli indirizzi, i browser moderni ti danno suggerimenti trovati nella cronologia di navigazione. Per molti, andare sulla loro piattaforma di online banking significa digitare un paio di lettere nella barra degli indirizzi e premere Invio. I browser moderni offrono anche funzionalità di gestione delle password, il che significa che una volta che si trovano sul sito Web della banca, gli utenti che hanno salvato le proprie credenziali con il proprio browser scelgono il suggerimento giusto e il loro nome utente e password vengono inseriti automaticamente. Se i loro computer sono infettati da Metamorfo, questo non accadrà.
Dopo aver stabilito un punto d'appoggio su un host, Metamorfo apporta alcune modifiche al registro, che disabilitano la funzionalità di riempimento automatico della maggior parte dei browser moderni. Di conseguenza, gli utenti devono inserire l'URL completo del loro sito Web bancario (se non lo hanno salvato come segnalibro) e devono anche digitare manualmente nome utente e password. Mentre lo fanno, Metamorfo registra i dati di accesso con l'aiuto di un componente keylogger e li invia al C&C dei criminali.
Un intelligente trojan bancario che ha pochi altri assi nella manica
Da un punto di vista tecnico, questo metodo è molto più semplice dei meccanismi più tradizionali per l'estrazione delle informazioni di accesso, ma potrebbe essere altrettanto efficace. In effetti, gli utenti probabilmente noteranno che la funzionalità di completamento automatico del loro browser non funziona, ma probabilmente presumeranno che si tratti di un problema tecnico temporaneo e inseriranno i loro dettagli a mano. Il funzionamento della truffa di reindirizzamento bitcoin è altrettanto semplice. Ciò non significa che il livello generale di sofisticazione sia basso, però.
I ricercatori di Fortinet hanno affermato che Metamorfo è in grado di eseguire un totale di 119 comandi, tra cui lo spegnimento e il riavvio del computer, lo spostamento del cursore del mouse e la visualizzazione di falsi messaggi di errore. In altre parole, Metamorfo è un trojan bancario estremamente versatile con funzionalità che vanno ben oltre il semplice furto di credenziali di accesso e il reindirizzamento di bitcoin. Potrebbe essere nuovo, ma sicuramente non è da annusare.
