„Metamorfo“ bankininkystės trojanas išjungia automatinį pildymą, kad būtų galima įrašyti įvestus slaptažodžius
Nors bėgant metams atsirado ir kilo kitų grėsmių, bankų Trojos arklys išliko populiarus kibernetinių nusikaltėlių tarpe ir, nors kai kurie iš tokių padermių, kaip Ursnif, įgijo veiksmingo duomenų išfiltravimo reputaciją, sukčiai vis dar nori suteikti naujiems dalyviams galimybių. „Metamorfo“ yra vienas iš paskutiniųjų į bankininkystės kenkėjiškų programų sceną atvykusių asmenų ir atrodo, kad galbūt gana greitai jis sulauks įsilaužėlių patvirtinimo.
„Fortinet“ tyrėjai pirmą kartą apie „Metamorfo“ rašė sausio mėnesį, kai kenkėjiška programa buvo skirta tik vartotojams Brazilijoje. Tačiau praėjusią savaitę ekspertai teigė matę naują variantą, išplatintą „keliose“ šalyse. Jie norėjo neskelbti tikslinių finansų institucijų sąrašo, tačiau jų ataskaitoje teigiama, kad didžioji dalis tikslų yra Šiaurės ir Pietų Amerikoje.
Table of Contents
Gana tradicinė infekcijos grandinė
Apie tai, kaip „Metamorfo“ užkrečia aukos kompiuterį, nėra nieko ypač verto. Sukčiai naudojasi socialine inžinerija, kad apgautų vartotojus atidarant ZIP failą, pridėtą prie neprašyto el. Pašto. Jo viduje yra „Windows Installer“, kuris atsisiunčia keletą failų iš įsilaužėlių kontroliuojamo serverio ir įdiegia trojaną. Failai sudedami į atsitiktinai pavadintą aplanką sistemos diske, o išlikimas pasiekiamas modifikuojant „Windows“ registrą.
Prieš pradedant kenkėjišką operaciją, „Metamorfo“ susisiekia su savo „Command & Control“ serveriu (C&C) ir siunčia informaciją apie užkrėstą pagrindinį kompiuterį, įskaitant kompiuterio pavadinimą, operacinės sistemos versiją ir įdiegtų saugos produktų sąrašą. Kol kas toks įprastas, tačiau kiti žingsniai rodo, kad „Metamorfo“ toli gražu nėra paprastas tradicinio bankininkystės trojano perrašymas.
„Metamorfo“ yra ir tikri, ir kriptovaliuta
Panašu, kad „Metamorfo“ operatoriai nepatenkinti tik tuo, kad vogė aukų bankinius duomenis. Įdiegus kenkėjišką programinę įrangą, ji suaktyvina iškarpinės stebėjimo funkciją, kuri nuskaito kiekvieną duomenų, kurį vartotojas nukopijuoja, bitą. Jei jis aptinka raidinę skaitmeninę eilutę, panašią į „bitcoin“ adresą, ji ją keičia į užpuoliko piniginės adresą, kol ji dar yra mainų srityje.
Piniginės adresai yra nuo 26 iki 35 simbolių, o tai reiškia, kad dauguma žmonių paprastai nukopijuoja adresą, kai nori atlikti „bitcoin“ operaciją. „Metamorfo“ kūrėjai tikisi, kad vartotojai nepastebės, kad eilutė buvo pakeista, ir netyčia nusiųs skaitmenines monetas į sukčių piniginę. Kalbant apie internetinės bankininkystės slaptažodžių vagystes, strategija taip pat gerai apgalvota.
Išjungus automatinio pildymo funkciją ir paprastą klaviatūros kaupiklį, pavogiami slaptažodžiai
Jūs žinote, kad pradėję rašyti URL adresų juostoje, šiuolaikinės naršyklės pateikia pasiūlymus, kuriuos rasite jūsų naršymo istorijoje. Daugeliui norint patekti į internetinės bankininkystės platformą reikia įvesti pora raidžių adreso juostoje ir spustelėti Enter. Šiuolaikinės naršyklės taip pat siūlo slaptažodžių tvarkymo funkcijas, o tai reiškia, kad prisijungę interneto svetainėje vartotojai, išsaugoję prisijungimo duomenis naršyklėse, tiesiog pasirenka tinkamą pasiūlymą, o vartotojo vardas ir slaptažodžiai užpildomi automatiškai. Jei jų kompiuteriai bus užkrėsti „Metamorfo“, tai neįvyks.
Kai „Metamorfo“ nustato pagrindinį pagrindą, jis atlieka keletą pakeitimų registre, kurie išjungia šiuolaikinių naršyklių automatinio užpildymo funkcijas. Todėl vartotojams reikia įvesti visą savo bankininkystės svetainės URL (jei jie neišsaugojo jos kaip žymės) ir rankiniu būdu įvesti savo vartotojo vardą ir slaptažodį. Kol jie tai daro, „Metamorfo“ įrašo prisijungimo duomenis naudodamas „keylogger“ komponentą ir siunčia juos sukčių C&C.
Protingas bankų trojanas, turintis dar kelis tūzus
Žiūrint iš techninės perspektyvos, šis metodas yra daug paprastesnis nei tradiciniai prisijungimo informacijos gavimo būdai, tačiau jis gali būti toks pat efektyvus. Iš tiesų, vartotojai greičiausiai pastebės, kad jų naršyklės automatinio užbaigimo funkcijos neveikia, tačiau greičiausiai jie manys, kad tai yra laikinas triktis ir įves savo duomenis ranka. „Bitcoin“ peradresavimo sukčiai veikia taip pat tiesiai. Vis dėlto tai nereiškia, kad bendras rafinuotumo lygis yra žemas.
„Fortinet“ tyrėjai teigė, kad „Metamorfo“ sugeba vykdyti iš viso 119 komandų, tarp kurių yra kompiuterio išjungimas ir perkraukimas, pelės žymeklio perkėlimas ir suklastotų klaidų pranešimų rodymas. Kitaip tariant, „Metamorfo“ yra nepaprastai universalus bankininkystės trojanas, turintis ne tik paprastą prisijungimo duomenų pavogimą ir bitkoinų nukreipimą, bet ir daugiau funkcijų. Tai gali būti nauja, tačiau to tikrai nereikia užuosti.
