Троян Metamorfo Banking отключает автозаполнение для записи введенных вами паролей
В то время как другие угрозы появлялись и исчезали на протяжении многих лет, банковские трояны оставались твердым фаворитом у киберпреступников, и, хотя некоторые из них, такие как Урсниф , зарекомендовали себя за эффективную фильтрацию данных, мошенники по-прежнему готовы помочь новым участникам. Метаморфо - одно из последних появлений на банковской вредоносной сцене, и похоже, что оно может получить одобрение хакеров довольно быстро.
Исследователи из Fortinet впервые написали о Metamorfo в январе, когда вредоносное ПО было нацелено исключительно на пользователей в Бразилии. Однако на прошлой неделе эксперты заявили, что видели новый вариант, распространенный в «нескольких» странах. Они предпочли не публиковать список целевых финансовых учреждений, но их отчет предполагает, что большинство целей находятся в Северной и Южной Америке.
Table of Contents
Довольно традиционная инфекционная цепь
Нет ничего особенно интересного в том, как Метаморфо заражает компьютер жертвы. Мошенники используют социальную инженерию, чтобы обманом заставить пользователей открыть ZIP-файл, прикрепленный к нежелательной почте. Внутри находится установщик Windows, который загружает несколько файлов с сервера, управляемого хакером, и устанавливает троян. Файлы сбрасываются в папку с произвольным именем на системном диске, и сохранение достигается с помощью изменения реестра Windows.
Перед началом вредоносной операции Metamorfo связывается со своим сервером Command & Control (C & C) и отправляет информацию о зараженном хосте, включая имя компьютера, версию операционной системы и список установленных продуктов безопасности. Пока что это так условно, но следующие шаги показывают, что Metamorfo далека от простого переписывания традиционного банковского трояна.
Метаморфо - за реальными и крипто деньгами
Похоже, что операторы Метаморфо не удовлетворены только кражей банковских учетных данных жертв. После установки вредоносная программа активирует функцию мониторинга буфера обмена, которая просматривает каждый бит данных, которые пользователь копирует. Если он обнаруживает буквенно-цифровую строку, которая выглядит как адрес биткойна, он заменяет ее на адрес кошелька злоумышленника, пока он еще находится в буфере обмена.
Адреса кошельков имеют длину от 26 до 35 символов, что означает, что большинство людей обычно копируют адрес, когда хотят совершить биткойн-транзакцию. Разработчики Metamorfo надеются, что пользователи не заметят, что строка была изменена, и непреднамеренно отправят цифровые монеты на кошелек мошенников. Когда дело доходит до кражи паролей онлайн-банкинга, стратегия хорошо продумана.
Отключенная функция автозаполнения и простой кейлоггер приводят к краже паролей
Вы знаете, что когда вы начинаете вводить URL-адрес в адресной строке, современные браузеры дают вам советы, найденные в истории просмотров. Для многих переход на платформу онлайн-банкинга означает ввод пары букв в адресной строке и нажатие клавиши Enter. Современные браузеры также предлагают функции управления паролями, что означает, что, как только они находятся на веб-сайте банка, пользователи, которые сохранили свои учетные данные в своих браузерах, просто выбирают правильное предложение, и их имя пользователя и пароли заполняются автоматически. Если их компьютеры заражены Metamorfo, этого не произойдет.
После того, как он устанавливает точку опоры на хосте, Metamorfo вносит несколько изменений в реестр, что отключает функцию автозаполнения большинства современных браузеров. В результате пользователям необходимо ввести полный URL-адрес своего банковского веб-сайта (если они не сохранили его в виде закладки), а также вручную ввести свое имя пользователя и пароль. Пока они это делают, Metamorfo записывает данные для входа с помощью компонента кейлоггера и отправляет их в C & C мошенников.
Умный банковский троян, у которого в рукаве есть еще несколько тузов
С технической точки зрения этот метод намного проще, чем более традиционные механизмы извлечения информации для входа, но он может быть столь же эффективным. Действительно, пользователи, вероятно, заметят, что функция автозаполнения их браузера не работает, но они, вероятно, предположят, что это временный сбой, и введут свои данные вручную. Работа мошенников с перенаправлением биткойнов также проста. Это не значит, что общий уровень сложности низкий.
Исследователи из Fortinet говорят, что Metamorfo способна выполнить в общей сложности 119 команд, включая выключение и перезагрузку компьютера, перемещение курсора мыши и отображение поддельных сообщений об ошибках. Другими словами, Metamorfo - чрезвычайно универсальный банковский троян с функциональностью, которая выходит далеко за рамки простого кражи учетных данных и перенаправления биткойнов. Это могло бы быть новым, но это определенно не должно быть услышано.
