Metamorfo 銀行木馬禁用自動完成功能來記錄您鍵入的密碼

Metamorfo Banking Trojan

多年來,儘管其他威脅不斷出現,但銀行木馬仍然是網絡犯罪分子的堅定選擇,儘管Ursnif之類的某些病毒已經在有效的數據洩露方面樹立了聲譽,但騙子仍然願意讓新進入者。 Metamorfo是銀行惡意軟件領域中最近出現的一種,它看起來可能很快就獲得了黑客的認可。

Fortinet的研究人員在一月份首次撰寫了有關Metamorfo的文章,當時該惡意軟件僅針對巴西用戶。但是,專家們上周,他們已經在“多個”國家看到了一個新的變體。他們寧願不公開目標金融機構的清單,但他們的報告表明大多數目標都位於北美和南美。

相當傳統的感染鏈

Metamorfo感染受害者計算機的方式並沒有什麼特別的新聞價值。騙子利用社會工程手段誘騙用戶打開附加到未經請求的電子郵件的ZIP文件。它的內部有一個Windows Installer,可從黑客控制的服務器下載一些文件並安裝木馬。這些文件被轉儲到系統驅動器上的一個隨機命名的文件夾中,並通過修改Windows註冊表來實現持久性。

在惡意操作開始之前,Metamorfo聯繫其命令和控制服務器(C&C)並發送有關受感染主機的信息,包括計算機名稱,操作系統版本以及已安裝的安全產品列表。到目前為止,還很常規,但是接下來的步驟表明,Metamorfo遠非簡單地重寫傳統的銀行木馬。

Metamorfo追求真實貨幣和加密貨幣

看起來Metamorfo的運營商對僅竊取受害者的銀行憑證並不滿意。安裝後,該惡意軟件會激活剪貼板監視功能,該功能會掃描用戶複製的每一位數據。如果它檢測到一個看起來像比特幣地址的字母數字字符串,則將其替換為攻擊者的錢包地址,而該地址仍在剪貼板中。

錢包地址的長度在26到35個字符之間,這意味著大多數人通常在想要進行比特幣交易時會復制地址。 Metamorfo的開發人員希望用戶不會注意到字符串已更改,並且會無意間將數字硬幣發送到騙子的錢包。當涉及到盜竊網上銀行密碼時,該策略也是經過深思熟慮的。

禁用的自動完成功能和簡單的按鍵記錄程序會導緻密碼被盜

您知道,當您開始在地址欄中輸入URL時,現代的瀏覽器會為您提供在瀏覽歷史記錄中發現的建議。對於許多人來說,使用其在線銀行平台意味著在地址欄中輸入幾個字母,然後按Enter。現代瀏覽器還提供了密碼管理功能,這意味著一旦他們進入銀行的網站,使用瀏覽器保存了憑據的用戶就會選擇正確的建議,並且其用戶名和密碼會自動填寫。如果他們的計算機感染了Metamorfo,則不會發生這種情況。

在主機上立足後,Metamorfo對註冊表進行了一些更改,從而禁用了大多數現代瀏覽器的自動填充功能。結果,用戶需要輸入銀行網站的完整URL(如果尚未將其保存為書籤),還需要手動輸入用戶名和密碼。當他們這樣做時,Metamorfo會在鍵盤記錄器組件的幫助下記錄登錄數據,並將其發送給騙子的C&C。

巧妙的銀行木馬,還有其他幾個ace

從技術角度來看,此方法比提取登錄信息的更傳統的機制簡單得多,但可能同樣有效。確實,用戶可能會注意到他們的瀏覽器的自動完成功能不起作用,但他們可能會認為這是暫時的故障,會手工輸入他們的詳細信息。比特幣重定向騙局的工作原理也很簡單。但是,這並不意味著複雜程度總體較低。

Fortinet的研究人員說,Metamorfo能夠執行總共119條命令,其中包括關閉和重新啟動計算機,移動鼠標光標以及顯示假錯誤消息。換句話說,Metamorfo是一種用途極為廣泛的銀行木馬,其功能遠遠超出了簡單地竊取登錄憑據和重定向比特幣的範圍。它可能是新的,但絕對不要被它所聞。

February 7, 2020

發表評論