Metamorfo Banking Trojan deaktiverer automatisk fullføring for å registrere passordene du skriver inn
Mens andre trusler har kommet og gått gjennom årene, har banktrojanere forblitt en fast favoritt blant nettkriminelle, og selv om noen av stammene som Ursnif har fått et rykte for effektiv datautfiltrering, er skurkene fremdeles villige til å gi nye deltakere en gang. Metamorfo er en av de nyere ankomne på skadelig programvare for banker, og det ser ut som om det kan hente hackernes godkjenning ganske raskt.
Forskere fra Fortinet skrev først om Metamorfo i januar da skadelig programvare utelukkende var rettet mot brukere i Brasil. I forrige uke sa ekspertene imidlertid at de har sett en ny variant distribuert i "flere" land. De foretrakk å ikke publisere en liste over målrettede finansinstitusjoner, men rapporten deres antyder at de fleste av målene ligger i Nord- og Sør-Amerika.
Table of Contents
En ganske tradisjonell infeksjonskjede
Det er ingenting spesielt nyhetsverdig med måten Metamorfo infiserer datamaskin til et offer. Krokene bruker sosialteknikk for å lure brukere til å åpne en ZIP-fil som er knyttet til en uoppfordret e-post. Inni i det er det en Windows Installer som laster ned noen få filer fra en hacker-kontrollert server og installerer trojanen. Filene blir dumpet i en tilfeldig navngitt mappe på systemstasjonen, og utholdenhet oppnås ved hjelp av en modifisering av Windows-registeret.
Før den ondsinnede operasjonen begynner, kontakter Metamorfo sin Command & Control-server (C&C) og sender informasjon om den infiserte verten, inkludert datamaskinnavnet, versjonen av operativsystemet og en liste over installerte sikkerhetsprodukter. Så langt, så konvensjonelt, men de neste trinnene viser at Metamorfo langt fra er en enkel omskrivning av en tradisjonell bank-trojan.
Metamorfo er etter både ekte og kryptopenger
Det ser ut som Metamorfos operatører ikke er fornøyde med å stjele ofrenes bankkreditt. Når den er installert, aktiverer skadelig programvare en overvåkingsfunksjon for utklippstavlen, som skanner gjennom hver bit av data som brukeren kopierer. Hvis den oppdager en alfanumerisk streng som ser ut som en bitcoin-adresse, bytter den den for adressen til angriperens lommebok mens den fremdeles er på utklippstavlen.
Lommebokadressene er mellom 26 og 35 tegn lange, noe som betyr at de fleste vanligvis kopierer adressen når de vil gjøre en bitcoin-transaksjon. Metamorfos utviklere håper at brukere ikke vil merke at strengen er endret og uforvarende vil sende de digitale myntene til skurkenes lommebok. Når det gjelder tyveri av nettbankpassord, er strategien like gjennomtenkt.
En deaktivert auto-fullstendig funksjon og en enkel keylogger resulterer i stjålne passord
Du vet at når du begynner å skrive en URL i adressefeltet, gir moderne nettlesere deg forslag som finnes i nettleserloggen. For mange betyr det å gå til nettbankplattformen å skrive et par bokstaver i adressefeltet og trykke Enter. Moderne nettlesere tilbyr også passordhåndteringsfunksjonalitet, noe som betyr at når de først er på bankens nettsted, brukerne som har lagret legitimasjonen med nettleserne, bare velger det riktige forslaget, og brukernavnet og passordene deres fylles ut automatisk. Hvis datamaskinene deres er infisert med Metamorfo, vil ikke dette skje.
Etter at det har fått fotfeste for en vert, gjør Metamorfo noen få endringer i registeret, som deaktiverer automatisk utfyllingsfunksjonalitet for de fleste moderne nettlesere. Som et resultat må brukere oppgi den fullstendige URL-adressen til banknettstedet sitt (hvis de ikke har lagret det som et bokmerke), og de må også skrive inn brukernavnet og passordet manuelt. Mens de gjør det, registrerer Metamorfo påloggingsdataene ved hjelp av en keylogger-komponent og sender dem til skurkenes C&C.
En smart banktrojan som har noen få andre ess opp ermet
Fra et teknisk perspektiv er denne metoden mye enklere enn de mer tradisjonelle mekanismene for å trekke ut innloggingsinformasjon, men den kan være like effektiv. Faktisk vil brukerne sannsynligvis legge merke til at nettleserens auto-komplette funksjonalitet ikke fungerer, men de vil antagelig anta at dette er en midlertidig feil og vil legge inn detaljene for hånd. Arbeidet med svindelen med bitcoin-omdirigering er like grei. Dette betyr ikke at det generelle raffinementet er lite.
Fortinets forskere sa at Metamorfo er i stand til å utføre totalt 119 kommandoer, som inkluderer å slå av og starte datamaskinen på nytt, flytte musepekeren og vise falske feilmeldinger. Metamorfo er med andre ord en ekstremt allsidig banktrojan med funksjonalitet som strekker seg langt utover bare å stjele innloggingsinformasjon og omdirigere bitcoins. Det kan være nytt, men det er absolutt ikke å bli snust på.
