Metamorfo bank trojan inaktiverar auto-fullständig för att spela in de lösenord du skriver in

Medan andra hot har kommit och gått under åren har banktrojaner varit fortsatt en favorit bland cyberbrottslingar, och även om några av stammarna som Ursnif har upprättat ett rykte för effektiv datautfiltrering, är skurkarna fortfarande villiga att ge nya deltagare en gång. Metamorfo är en av de senare ankomsterna på banan skadlig programvara, och det ser ut som om det kan få hackarens godkännande ganska snabbt.

Forskare från Fortinet skrev först om Metamorfo i januari när skadlig programvara uteslutande riktades till användare i Brasilien. Förra veckan sa emellertid experterna att de har sett en ny variant distribuerad i "flera" länder. De föredrog att inte publicera en lista över riktade finansinstitut, men deras rapport tyder på att de flesta av målen ligger i Nord- och Sydamerika.

En ganska traditionell infektionskedja

Det finns inget särskilt nyvärt med hur Metamorfo infekterar offrets dator. Skurkarna använder socialteknik för att lura användare att öppna en ZIP-fil som är kopplad till ett oönskat e-postmeddelande. Inne i det finns en Windows Installer som laddar ner några filer från en hackerstyrd server och installerar trojanen. Filerna dumpas i en slumpmässigt namngiven mapp på systemenheten och uthållighet uppnås med hjälp av en ändring av Windows-registret.

Innan den skadliga åtgärden börjar kontaktar Metamorfo sin Command & Control-server (C&C) och skickar information om den infekterade värden, inklusive datornamn, versionen av operativsystemet och en lista över installerade säkerhetsprodukter. Hittills så konventionellt, men nästa steg visar att Metamorfo långt ifrån en enkel omskrivning av en traditionell banktrojan.

Metamorfo är efter både riktiga och kryptopengar

Det ser ut som att Metamorfos operatörer inte är nöjda med att stjäla offrens bankkredit. När den har installerats aktiverar skadlig programvara en övervakningsfunktion för Urklipp, som skannar igenom alla bitar som användaren kopierar. Om den upptäcker en alfanumerisk sträng som ser ut som en bitcoin-adress, byter den ut för adressen till angriparens plånbok medan den fortfarande finns i Urklipp.

Plånbokadresser är mellan 26 och 35 tecken långa, vilket innebär att de flesta brukar kopiera adressen när de vill göra en bitcoin-transaktion. Metamorfos utvecklare hoppas att användare inte märker att strängen har ändrats och oavsiktligt skickar de digitala mynten till skurkens plånbok. När det gäller stöld av onlinebanklösenord är strategin lika genomtänkt.

En inaktiverad automatisk kompletteringsfunktion och en enkel keylogger resulterar i stulna lösenord

Du vet att när du börjar skriva en URL i adressfältet ger moderna webbläsare dig förslag som finns i din surfhistorik. Att gå till deras onlinebankplattform betyder för många att skriva ett par bokstäver i adressfältet och slå Enter. Moderna webbläsare erbjuder också lösenordshanteringsfunktioner, vilket innebär att när de väl är på bankens webbplats, användare som har sparat sina referenser med sina webbläsare bara väljer rätt förslag, och deras användarnamn och lösenord fylls i automatiskt. Om deras datorer är infekterade med Metamorfo kommer det inte att hända.

Efter att det har etablerat fotfäste på en värd gör Metamorfo några ändringar i registret, vilket avaktiverar auto-fill-funktionen för de flesta moderna webbläsare. Som ett resultat måste användare ange den fullständiga webbadressen på sin bankwebbplats (om de inte har sparat den som ett bokmärke), och de måste också skriva in sitt användarnamn och lösenord manuellt. Medan de gör det registrerar Metamorfo inloggningsdata med hjälp av en keylogger-komponent och skickar dem till skurkarnasC&C.

En smart banktrojan som har några andra ess uppåt

Ur ett tekniskt perspektiv är denna metod mycket enklare än de mer traditionella mekanismerna för att extrahera inloggningsinformation, men det kan vara lika effektivt. I själva verket kommer användarna sannolikt att märka att deras webbläsares auto-fullständiga funktionalitet inte fungerar, men de antar antagligen att detta är ett tillfälligt fel och kommer att ange deras detaljer för hand. Arbetet med bitcoin-omdirigeringsbedrägeri är lika enkelt. Detta betyder dock inte att den övergripande nivån av sofistikering är låg.

Fortinet forskare sa att Metamorfo kan utföra totalt 119 kommandon, som inkluderar att stänga av och starta om datorn, flytta muspekaren och visa falska felmeddelanden. Med andra ord är Metamorfo en extremt mångsidig bank-trojan med funktionalitet som sträcker sig långt utöver att bara stjäla inloggningsuppgifter och omdirigera bitcoins. Det kan vara nytt, men det är definitivt inte att snifta på.