Metamorfo 銀行のトロイの木馬は、オートコンプリートを無効にして、入力したパスワードを記録します
長年にわたって他の脅威が現れたり消えたりしていましたが、銀行のトロイの木馬はサイバー犯罪者の間で絶大な人気を保っていました。 また、Ursnifのようないくつかの株は効率的なデータ流出の評判を確立しましたが、詐欺師たちはまだ新規参入者を喜んで与えています。 Metamorfoは、銀行のマルウェアシーンに最近登場したものの1つであり、ハッカーの承認をかなり迅速に獲得しているようです。
フォーティネットの研究者が最初に書いたのは、ブラジルのユーザーを対象としたマルウェアである1月のことです。しかし、先週、専門家は「複数の」国に新しい亜種が分布しているのを見たと言った。彼らは、対象となる金融機関のリストを公開しないことを好んだが、彼らの報告は、対象のほとんどが南北アメリカにあることを示唆している。
Table of Contents
かなり伝統的な感染チェーン
Metamorfoが被害者のコンピューターに感染する方法について特にニュースに値するものはありません。詐欺師はソーシャルエンジニアリングを使用して、ユーザーをだまして迷惑メールに添付されたZIPファイルを開きます。その中には、ハッカーが制御するサーバーからいくつかのファイルをダウンロードし、トロイの木馬をインストールするWindowsインストーラーがあります。ファイルはシステムドライブ上のランダムに名前が付けられたフォルダーにダンプされ、Windowsのレジストリを変更することで永続性が実現されます。
悪意のある操作が開始される前に、MetamorfoはCommand&Controlサーバー(C&C)に接続し、コンピューター名、オペレーティングシステムのバージョン、インストールされているセキュリティ製品のリストなど、感染したホストに関する情報を送信します。これまでのところ、非常に従来的ですが、次のステップは、Metamorfoが従来の銀行のトロイの木馬の単純な書き換えからはほど遠いことを示しています。
Metamorfoは本物と暗号通貨の両方を求めています
Metamorfoのオペレーターは、被害者の銀行口座情報を盗むだけでは満足していないようです。マルウェアがインストールされると、マルウェアはクリップボード監視機能を有効にし、ユーザーがコピーするデータのすべてのビットをスキャンします。ビットコインアドレスのように見える英数字の文字列を検出すると、クリップボードに残っている間に攻撃者のウォレットのアドレスと交換します。
ウォレットアドレスの長さは26〜35文字です。つまり、ほとんどの人は通常、ビットコイントランザクションを行いたいときにアドレスをコピーします。 Metamorfoの開発者は、ユーザーが文字列が変更されたことに気付かず、デジタルコインをうっかり詐欺師の財布に送ることを望んでいます。オンラインバンキングのパスワードの盗難に関しては、戦略も同様によく考えられています。
無効化されたオートコンプリート機能と単純なキーロガーにより、パスワードが盗まれます
アドレスバーにURLを入力し始めると、最新のブラウザーでは閲覧履歴にある候補が表示されることがわかっています。多くの場合、オンラインバンキングプラットフォームにアクセスするには、アドレスバーに数文字入力してEnterキーを押す必要があります。最新のブラウザーはパスワード管理機能も提供します。つまり、銀行のWebサイトにアクセスすると、ブラウザーで資格情報を保存したユーザーが正しい候補を選択するだけで、ユーザー名とパスワードが自動的に入力されます。彼らのコンピューターがMetamorfoに感染している場合、これは起こりません。
ホスト上に足場を確立した後、Metamorfoはレジストリにいくつかの変更を加え、最新のブラウザの自動入力機能を無効にします。そのため、ユーザーは銀行のWebサイトの完全なURLを入力する必要があり(ブックマークとして保存していない場合)、ユーザー名とパスワードを手動で入力する必要もあります。彼らがそれをしている間、Metamorfoはキーロガーコンポーネントの助けを借りてログインデータを記録し、それを詐欺師のC&Cに送ります。
巧妙な銀行のトロイの木馬で、他にもいくつかのエースがあります
技術的な観点から見ると、この方法はログイン情報を抽出するための従来のメカニズムよりもはるかに簡単ですが、同じくらい効果的です。実際、ユーザーはブラウザのオートコンプリート機能が機能しないことに気付くでしょうが、おそらくこれは一時的な不具合であり、手で詳細を入力することになるでしょう。ビットコインのリダイレクト詐欺の仕組みは同じくらい簡単です。ただし、これは洗練度の全体的なレベルが低いことを意味するものではありません。
フォーティネットの研究者によると、Metamorfoは合計119個のコマンドを実行でき、その中にはコンピューターのシャットダウンと再起動、マウスカーソルの移動、偽のエラーメッセージの表示が含まれます。言い換えれば、Metamorfoは、ログイン資格情報の盗用やビットコインのリダイレクトをはるかに超える機能を備えた、非常に用途の広い銀行のトロイの木馬です。それは新しいかもしれませんが、絶対ににおいを嗅ぐべきではありません。