De Metamorfo Banking Trojan schakelt automatisch aanvullen uit om de wachtwoorden in te voeren die u typt

Metamorfo Banking Trojan

Terwijl andere bedreigingen door de jaren heen zijn gekomen en verdwenen, zijn bank-trojans een favoriet gebleven bij cybercriminelen, en hoewel sommige van de soorten zoals Ursnif een reputatie hebben opgebouwd voor efficiënte gegevensuitfiltratie, zijn de boeven nog steeds bereid om nieuwkomers een kans te geven. Metamorfo is een van de recentere nieuwkomers op de bankwezenscène en het lijkt erop dat het vrij snel de goedkeuring van de hackers krijgt.

Onderzoekers van Fortinet schreven voor het eerst over Metamorfo in januari, toen de malware uitsluitend gericht was op gebruikers in Brazilië. Vorige week zeiden de experts echter dat ze een nieuwe variant in "meerdere" landen hebben gezien. Ze gaven er de voorkeur aan geen lijst van beoogde financiële instellingen te publiceren, maar hun rapport suggereert dat de meeste doelen zich in Noord- en Zuid-Amerika bevinden.

Een vrij traditionele infectieketen

Er is niets bijzonders nieuws aan de manier waarop Metamorfo de computer van een slachtoffer infecteert. De boeven gebruiken social engineering om gebruikers te misleiden om een ZIP-bestand te openen dat bij een ongevraagde e-mail is gevoegd. Daarin zit een Windows Installer die een paar bestanden van een door een hacker gecontroleerde server downloadt en de trojan installeert. De bestanden worden gedumpt in een map met willekeurige namen op het systeemstation en persistentie wordt bereikt met behulp van een wijziging van het Windows-register.

Voordat de schadelijke bewerking begint, neemt Metamorfo contact op met de Command & Control-server (C&C) en verzendt informatie over de geïnfecteerde host, waaronder de computernaam, de versie van het besturingssysteem en een lijst met geïnstalleerde beveiligingsproducten. Tot nu toe, zo conventioneel, maar de volgende stappen laten zien dat Metamorfo verre van een eenvoudige herschrijving van een traditionele banktrojan is.

Metamorfo is op zoek naar zowel echt als cryptogeld

Het lijkt erop dat de operators van Metamorfo niet alleen tevreden zijn met het stelen van de bankgegevens van slachtoffers. Zodra het is geïnstalleerd, activeert de malware een functie voor het controleren van het klembord, die alle gegevens scant die de gebruiker kopieert. Als het een alfanumerieke tekenreeks detecteert die eruit ziet als een bitcoin-adres, wordt deze geruild voor het adres van de portefeuille van de aanvaller terwijl deze zich nog in het klembord bevindt.

Wallet-adressen zijn tussen de 26 en 35 tekens lang, wat betekent dat de meeste mensen meestal het adres kopiëren wanneer ze een bitcoin-transactie willen doen. De ontwikkelaars van Metamorfo hopen dat gebruikers niet zullen merken dat de string is gewijzigd en onbedoeld de digitale munten naar de portemonnee van de boeven zouden sturen. Als het gaat om diefstal van wachtwoorden voor online bankieren, is de strategie net zo goed doordacht.

Een uitgeschakeld automatisch aanvullen en een eenvoudige keylogger resulteren in gestolen wachtwoorden

U weet dat wanneer u begint met het typen van een URL in uw adresbalk, moderne browsers u suggesties geven uit uw browsegeschiedenis. Voor velen betekent het gaan naar hun online bankplatform een paar letters in de adresbalk typen en op Enter drukken. Moderne browsers bieden ook functionaliteit voor wachtwoordbeheer, wat betekent dat zodra ze op de website van de bank zijn, gebruikers die hun referenties met hun browsers hebben opgeslagen, de juiste suggestie kiezen en hun gebruikersnaam en wachtwoord automatisch worden ingevuld. Als hun computers zijn besmet met Metamorfo, zal dit niet gebeuren.

Nadat het een positie op een host heeft vastgesteld, brengt Metamorfo een paar wijzigingen in het register aan, waardoor de auto-fill-functionaliteit van de meeste moderne browsers wordt uitgeschakeld. Daarom moeten gebruikers de volledige URL van hun bankwebsite invoeren (als ze deze niet als bladwijzer hebben opgeslagen) en moeten ze ook handmatig hun gebruikersnaam en wachtwoord typen. Terwijl ze dat doen, registreert Metamorfo de inloggegevens met behulp van een keylogger-component en stuurt deze naar de C&C van de boeven.

Een slimme bank-trojan die een paar andere azen in petto heeft

Vanuit technisch perspectief is deze methode een stuk eenvoudiger dan de meer traditionele mechanismen voor het extraheren van inloginformatie, maar het kan net zo effectief zijn. Inderdaad, de gebruikers zullen waarschijnlijk opmerken dat de automatische aanvulfunctionaliteit van hun browser niet werkt, maar ze zullen waarschijnlijk aannemen dat dit een tijdelijke storing is en zullen hun gegevens met de hand invoeren. De werking van de bitcoin-omleidingszwendel is net zo eenvoudig. Dit betekent echter niet dat het algehele niveau van verfijning laag is.

De onderzoekers van Fortinet zeiden dat Metamorfo in totaal 119 commando's kan uitvoeren, waaronder het afsluiten en opnieuw opstarten van de computer, het verplaatsen van de muiscursor en het weergeven van valse foutmeldingen. Met andere woorden, Metamorfo is een extreem veelzijdige bank-trojan met functionaliteit die veel verder gaat dan alleen het stelen van inloggegevens en het omleiden van bitcoins. Het is misschien nieuw, maar het is zeker niet om aan te snuffelen.

February 7, 2020

Laat een antwoord achter