Trojan bankowy Metamorfo wyłącza autouzupełnianie w celu rejestrowania wpisywanych haseł
Podczas gdy inne zagrożenia pojawiały się i znikały przez lata, trojany bankowe pozostały ulubieńcem cyberprzestępców i chociaż niektóre szczepy, takie jak Ursnif, zyskały reputację wydajnej eksfiltracji danych, oszuści są nadal gotowi dać szansę nowym graczom. Metamorfo jest jednym z najnowszych programów na bankowym złośliwym oprogramowaniu i wygląda na to, że dość szybko zyskuje aprobatę hakerów.
Naukowcy z Fortinet po raz pierwszy napisali o Metamorfo w styczniu, kiedy szkodliwe oprogramowanie było skierowane wyłącznie do użytkowników w Brazylii. Jednak w ubiegłym tygodniu eksperci powiedzieli, że widzieli nowy wariant dystrybuowany w „wielu” krajach. Woleli nie publikować listy docelowych instytucji finansowych, ale ich raport sugeruje, że większość celów znajduje się w Ameryce Północnej i Południowej.
Table of Contents
Dość tradycyjny łańcuch infekcji
Nie ma nic szczególnie wartego uwagi w sposobie, w jaki Metamorfo infekuje komputer ofiary. Oszuści wykorzystują socjotechnikę, aby nakłonić użytkowników do otwarcia pliku ZIP dołączonego do niechcianego e-maila. Wewnątrz znajduje się Instalator Windows, który pobiera kilka plików z serwera kontrolowanego przez hakerów i instaluje trojana. Pliki są zrzucane do losowo nazwanego folderu na dysku systemowym, a trwałość jest osiągana za pomocą modyfikacji rejestru systemu Windows.
Przed rozpoczęciem złośliwej operacji Metamorfo kontaktuje się z serwerem Command & Control (C&C) i wysyła informacje o zainfekowanym hoście, w tym nazwę komputera, wersję systemu operacyjnego i listę zainstalowanych produktów zabezpieczających. Jak dotąd tak konwencjonalne, ale kolejne kroki pokazują, że Metamorfo jest daleki od zwykłego przepisania tradycyjnego trojana bankowego.
Metamorfo szuka zarówno prawdziwych, jak i kryptograficznych pieniędzy
Wygląda na to, że operatorzy Metamorfo nie są zadowoleni z kradzieży poświadczeń bankowych tylko ofiar. Po zainstalowaniu szkodliwe oprogramowanie aktywuje funkcję monitorowania schowka, która skanuje każdą część danych kopiowanych przez użytkownika. Jeśli wykryje ciąg alfanumeryczny, który wygląda jak adres bitcoin, zamienia go na adres portfela atakującego, gdy jest on nadal w schowku.
Adresy portfela mają od 26 do 35 znaków, co oznacza, że większość osób zwykle kopiuje adres, gdy chce dokonać transakcji bitcoin. Programiści Metamorfo mają nadzieję, że użytkownicy nie zauważą, że łańcuch został zmieniony, i niechcący wyślą cyfrowe monety do portfela oszustów. Jeśli chodzi o kradzież haseł do bankowości internetowej, strategia jest równie dobrze przemyślana.
Wyłączona funkcja autouzupełniania i prosty keylogger powodują skradzione hasła
Wiesz, że kiedy zaczynasz wpisywać adres URL w pasku adresu, nowoczesne przeglądarki podsuwają ci sugestie znalezione w historii przeglądania. Dla wielu osób przejście na platformę bankowości internetowej oznacza wpisanie kilku liter w pasku adresu i naciśnięcie klawisza Enter. Nowoczesne przeglądarki oferują również funkcję zarządzania hasłami, co oznacza, że gdy znajdą się na stronie banku, użytkownicy, którzy zapisali swoje dane uwierzytelniające w swoich przeglądarkach, po prostu wybierają odpowiednią sugestię, a ich nazwa użytkownika i hasła są wypełniane automatycznie. Jeśli ich komputery zostaną zainfekowane Metamorfo, tak się nie stanie.
Po ustanowieniu przyczółka na hoście Metamorfo wprowadza kilka zmian w rejestrze, które wyłączają funkcję automatycznego wypełniania w większości nowoczesnych przeglądarek. W rezultacie użytkownicy muszą wprowadzić pełny adres URL swojej witryny bankowej (jeśli nie zapisali go jako zakładki), a także muszą ręcznie wpisać swoją nazwę użytkownika i hasło. Podczas gdy oni to robią, Metamorfo rejestruje dane logowania za pomocą komponentu keyloggera i wysyła je do centrum kontroli oszustów.
Sprytny trojan bankowy, który ma w zanadrzu kilka innych asów
Z technicznego punktu widzenia ta metoda jest o wiele prostsza niż bardziej tradycyjne mechanizmy wydobywania danych logowania, ale może być równie skuteczna. Rzeczywiście użytkownicy prawdopodobnie zauważą, że funkcja autouzupełniania przeglądarki nie działa, ale prawdopodobnie założą, że jest to tymczasowa usterka i ręcznie wprowadzą swoje dane. Działanie oszustwa polegającego na przekierowywaniu bitcoinów jest równie proste. Nie oznacza to jednak, że ogólny poziom wyrafinowania jest niski.
Badacze z Fortinet stwierdzili, że Metamorfo jest w stanie wykonać w sumie 119 poleceń, w tym wyłączenie i ponowne uruchomienie komputera, przesunięcie kursora myszy i wyświetlanie fałszywych komunikatów o błędach. Innymi słowy, Metamorfo to niezwykle wszechstronny trojan bankowy z funkcjonalnością wykraczającą daleko poza zwykłe kradzież danych logowania i przekierowywanie bitcoinów. To może być nowy, ale zdecydowanie nie można go obwąchać.