Metamorfo 银行木马禁用自动完成功能来记录您键入的密码

Metamorfo Banking Trojan

多年来,尽管其他威胁不断出现,但银行木马仍然是网络犯罪分子的坚定选择,尽管诸如Ursnif之类的某些病毒已经在有效的数据泄露方面树立了声誉,但骗子仍然愿意为新进入者提供帮助。 Metamorfo是银行恶意软件领域中最近出现的一种,它看起来可能很快就获得了黑客的认可。

Fortinet的研究人员在一月份首次撰写了有关Metamorfo的文章,当时该恶意软件仅针对巴西用户。但是,专家们上周,他们已经在“多个”国家看到了一个新的变体。他们宁愿不公开目标金融机构的清单,但他们的报告表明大多数目标都位于北美和南美。

相当传统的感染链

Metamorfo感染受害者计算机的方式并没有什么特别的新闻价值。骗子利用社会工程手段诱骗用户打开附加到未经请求的电子邮件的ZIP文件。它的内部有一个Windows Installer,可从黑客控制的服务器下载一些文件并安装木马。这些文件被转储到系统驱动器上的一个随机命名的文件夹中,并通过修改Windows注册表来实现持久性。

在恶意操作开始之前,Metamorfo联系其命令和控制服务器(C&C)并发送有关受感染主机的信息,包括计算机名称,操作系统版本以及已安装的安全产品列表。到目前为止,还很常规,但是接下来的步骤表明,Metamorfo远非简单地重写传统的银行木马。

Metamorfo追求真实货币和加密货币

看起来Metamorfo的运营商对仅窃取受害者的银行凭证并不满意。安装后,该恶意软件会激活剪贴板监视功能,该功能会扫描用户复制的每一位数据。如果它检测到看起来像比特币地址的字母数字字符串,则将其替换为攻击者的钱包地址,同时仍位于剪贴板中。

钱包地址的长度在26到35个字符之间,这意味着大多数人通常在想要进行比特币交易时会复制地址。 Metamorfo的开发人员希望用户不会注意到字符串已更改,并且会无意间将数字硬币发送到骗子的钱包。当涉及到盗窃网上银行密码时,该策略也是经过深思熟虑的。

禁用的自动完成功能和简单的按键记录程序会导致密码被盗

您知道,当您开始在地址栏中输入URL时,现代的浏览器会为您提供在浏览历史记录中找到的建议。对于许多人来说,使用其在线银行平台意味着在地址栏中输入几个字母,然后按Enter。现代浏览器还提供了密码管理功能,这意味着一旦他们进入银行的网站,使用浏览器保存了凭据的用户就会选择正确的建议,并且其用户名和密码会自动填写。如果他们的计算机感染了Metamorfo,则不会发生这种情况。

在主机上立足后,Metamorfo对注册表进行了一些更改,从而禁用了大多数现代浏览器的自动填充功能。结果,用户需要输入银行网站的完整URL(如果尚未将其保存为书签),还需要手动输入用户名和密码。当他们这样做时,Metamorfo会在键盘记录器组件的帮助下记录登录数据,并将其发送给骗子的C&C。

巧妙的银行木马,还有其他几个ace

从技术角度来看,此方法比提取登录信息的更传统的机制简单得多,但可能同样有效。确实,用户可能会注意到他们的浏览器的自动完成功能不起作用,但他们可能会认为这是暂时的故障,会手工输入他们的详细信息。比特币重定向骗局的工作原理也很简单。但是,这并不意味着复杂程度总体较低。

Fortinet的研究人员说,Metamorfo能够执行总共119条命令,其中包括关闭和重新启动计算机,移动鼠标光标以及显示假错误消息。换句话说,Metamorfo是一种用途极为广泛的银行木马,其功能远远超出了简单地窃取登录凭据和重定向比特币的范围。它可能是新的,但绝对不要被它所闻。

February 7, 2020

发表评论