O cavalo de Troia do Metamorfo Banking desabilita o preenchimento automático para registrar as senhas digitadas
Enquanto outras ameaças surgiram e desapareceram ao longo dos anos, os cavalos de Troia bancários continuaram sendo os favoritos dos cibercriminosos e, embora algumas das linhagens como Ursnif tenham estabelecido uma reputação de eficiente filtragem de dados, os criminosos ainda estão dispostos a dar uma chance aos novos participantes. O Metamorfo é uma das chegadas mais recentes no cenário de malware bancário e parece que está ganhando a aprovação dos hackers rapidamente.
Pesquisadores da Fortinet escreveram sobre o Metamorfo pela primeira vez em janeiro, quando o malware era voltado exclusivamente para usuários no Brasil. Na semana passada, no entanto, os especialistas disseram que viram uma nova variante distribuída em "múltiplos" países. Eles preferiram não publicar uma lista de instituições financeiras direcionadas, mas o relatório sugere que a maioria das metas está situada na América do Norte e do Sul.
Índice
Uma cadeia de infecção bastante tradicional
Não há nada de particularmente interessante na maneira como o Metamorfo infecta o computador da vítima. Os bandidos usam a engenharia social para induzir os usuários a abrir um arquivo ZIP anexado a um email não solicitado. Dentro dele, há um Windows Installer que baixa alguns arquivos de um servidor controlado por hackers e instala o Trojan. Os arquivos são despejados em uma pasta nomeada aleatoriamente na unidade do sistema, e a persistência é obtida com a ajuda de uma modificação do registro do Windows.
Antes do início da operação maliciosa, o Metamorfo entra em contato com o servidor de Comando e Controle (C&C) e envia informações sobre o host infectado, incluindo o nome do computador, a versão do sistema operacional e uma lista de produtos de segurança instalados. Até agora, tão convencional, mas os próximos passos mostram que o Metamorfo está longe de ser uma simples reescrita de um trojan bancário tradicional.
Metamorfo está atrás de dinheiro real e cripto
Parece que os operadores da Metamorfo não estão satisfeitos em roubar apenas as credenciais bancárias das vítimas. Uma vez instalado, o malware ativa uma funcionalidade de monitoramento da área de transferência, que verifica todos os dados que o usuário copia. Se detectar uma sequência alfanumérica que se parece com um endereço de bitcoin, ela será trocada pelo endereço da carteira do atacante enquanto ainda estiver na área de transferência.
Os endereços da carteira têm entre 26 e 35 caracteres, o que significa que a maioria das pessoas geralmente copia o endereço quando deseja fazer uma transação de bitcoin. Os desenvolvedores do Metamorfo esperam que os usuários não notem que a corda foi alterada e, inadvertidamente, enviam as moedas digitais para a carteira dos bandidos. Quando se trata de roubo de senhas bancárias on-line, a estratégia é igualmente bem pensada.
Uma função de preenchimento automático desativada e um simples keylogger resultam em senhas roubadas
Você sabe que, quando começa a digitar um URL na barra de endereços, os navegadores modernos oferecem sugestões encontradas no seu histórico de navegação. Para muitos, acessar a plataforma de banco on-line significa digitar algumas letras na barra de endereços e pressionar Enter. Os navegadores modernos também oferecem a funcionalidade de gerenciamento de senhas, o que significa que, quando estão no site do banco, os usuários que salvam suas credenciais com os navegadores simplesmente escolhem a sugestão correta e o nome de usuário e as senhas são preenchidos automaticamente. Se os computadores deles estiverem infectados com o Metamorfo, isso não acontecerá.
Depois de estabelecer uma posição em um host, o Metamorfo faz algumas alterações no registro, que desabilitam a funcionalidade de preenchimento automático da maioria dos navegadores modernos. Como resultado, os usuários precisam inserir o URL completo do site bancário (se não o salvaram como marcador) e também precisam digitar manualmente o nome de usuário e a senha. Enquanto estão fazendo isso, o Metamorfo registra os dados de login com a ajuda de um componente keylogger e os envia para o C&C dos criminosos.
Um trojan bancário inteligente que tem alguns outros ases na manga
Do ponto de vista técnico, esse método é muito mais simples que os mecanismos mais tradicionais para extrair informações de login, mas pode ser igualmente eficaz. De fato, os usuários provavelmente perceberão que a funcionalidade de preenchimento automático do navegador não funciona, mas provavelmente presumem que essa é uma falha temporária e inserem seus detalhes manualmente. O funcionamento do golpe de redirecionamento de bitcoin é igualmente simples. Isso não significa que o nível geral de sofisticação seja baixo, no entanto.
Os pesquisadores da Fortinet disseram que o Metamorfo é capaz de executar um total de 119 comandos, que incluem desligar e reiniciar o computador, mover o cursor do mouse e exibir falsas mensagens de erro. Em outras palavras, o Metamorfo é um trojan bancário extremamente versátil, com funcionalidade que vai muito além de simplesmente roubar credenciais de login e redirecionar bitcoins. Pode ser novo, mas definitivamente não deve ser desprezado.
