Metamorfo 银行木马禁用自动完成功能来记录您键入的密码

多年来，尽管其他威胁不断出现，但银行木马仍然是网络犯罪分子的坚定选择，尽管诸如Ursnif之类的某些病毒已经在有效的数据泄露方面树立了声誉，但骗子仍然愿意为新进入者提供帮助。 Metamorfo是银行恶意软件领域中最近出现的一种，它看起来可能很快就获得了黑客的认可。

Fortinet的研究人员在一月份首次撰写了有关Metamorfo的文章，当时该恶意软件仅针对巴西用户。但是，专家们上周说，他们已经在“多个”国家看到了一个新的变体。他们宁愿不公开目标金融机构的清单，但他们的报告表明大多数目标都位于北美和南美。

Table of Contents

相当传统的感染链

Metamorfo感染受害者计算机的方式并没有什么特别的新闻价值。骗子利用社会工程手段诱骗用户打开附加到未经请求的电子邮件的ZIP文件。它的内部有一个Windows Installer，可从黑客控制的服务器下载一些文件并安装木马。这些文件被转储到系统驱动器上的一个随机命名的文件夹中，并通过修改Windows注册表来实现持久性。

在恶意操作开始之前，Metamorfo联系其命令和控制服务器（C＆C）并发送有关受感染主机的信息，包括计算机名称，操作系统版本以及已安装的安全产品列表。到目前为止，还很常规，但是接下来的步骤表明，Metamorfo远非简单地重写传统的银行木马。

Metamorfo追求真实货币和加密货币

看起来Metamorfo的运营商对仅窃取受害者的银行凭证并不满意。安装后，该恶意软件会激活剪贴板监视功能，该功能会扫描用户复制的每一位数据。如果它检测到看起来像比特币地址的字母数字字符串，则将其替换为攻击者的钱包地址，同时仍位于剪贴板中。

钱包地址的长度在26到35个字符之间，这意味着大多数人通常在想要进行比特币交易时会复制地址。 Metamorfo的开发人员希望用户不会注意到字符串已更改，并且会无意间将数字硬币发送到骗子的钱包。当涉及到盗窃网上银行密码时，该策略也是经过深思熟虑的。

禁用的自动完成功能和简单的按键记录程序会导致密码被盗

您知道，当您开始在地址栏中输入URL时，现代的浏览器会为您提供在浏览历史记录中找到的建议。对于许多人来说，使用其在线银行平台意味着在地址栏中输入几个字母，然后按Enter。现代浏览器还提供了密码管理功能，这意味着一旦他们进入银行的网站，使用浏览器保存了凭据的用户就会选择正确的建议，并且其用户名和密码会自动填写。如果他们的计算机感染了Metamorfo，则不会发生这种情况。

在主机上立足后，Metamorfo对注册表进行了一些更改，从而禁用了大多数现代浏览器的自动填充功能。结果，用户需要输入银行网站的完整URL（如果尚未将其保存为书签），还需要手动输入用户名和密码。当他们这样做时，Metamorfo会在键盘记录器组件的帮助下记录登录数据，并将其发送给骗子的C＆C。