Metamorfo 銀行木馬禁用自動完成功能來記錄您鍵入的密碼

多年來，儘管其他威脅不斷出現，但銀行木馬仍然是網絡犯罪分子的堅定選擇，儘管Ursnif之類的某些病毒已經在有效的數據洩露方面樹立了聲譽，但騙子仍然願意讓新進入者。 Metamorfo是銀行惡意軟件領域中最近出現的一種，它看起來可能很快就獲得了黑客的認可。

Fortinet的研究人員在一月份首次撰寫了有關Metamorfo的文章，當時該惡意軟件僅針對巴西用戶。但是，專家們上周說，他們已經在“多個”國家看到了一個新的變體。他們寧願不公開目標金融機構的清單，但他們的報告表明大多數目標都位於北美和南美。

Table of Contents

相當傳統的感染鏈

Metamorfo感染受害者計算機的方式並沒有什麼特別的新聞價值。騙子利用社會工程手段誘騙用戶打開附加到未經請求的電子郵件的ZIP文件。它的內部有一個Windows Installer，可從黑客控制的服務器下載一些文件並安裝木馬。這些文件被轉儲到系統驅動器上的一個隨機命名的文件夾中，並通過修改Windows註冊表來實現持久性。

在惡意操作開始之前，Metamorfo聯繫其命令和控制服務器（C＆C）並發送有關受感染主機的信息，包括計算機名稱，操作系統版本以及已安裝的安全產品列表。到目前為止，還很常規，但是接下來的步驟表明，Metamorfo遠非簡單地重寫傳統的銀行木馬。

Metamorfo追求真實貨幣和加密貨幣

看起來Metamorfo的運營商對僅竊取受害者的銀行憑證並不滿意。安裝後，該惡意軟件會激活剪貼板監視功能，該功能會掃描用戶複製的每一位數據。如果它檢測到一個看起來像比特幣地址的字母數字字符串，則將其替換為攻擊者的錢包地址，而該地址仍在剪貼板中。

錢包地址的長度在26到35個字符之間，這意味著大多數人通常在想要進行比特幣交易時會復制地址。 Metamorfo的開發人員希望用戶不會注意到字符串已更改，並且會無意間將數字硬幣發送到騙子的錢包。當涉及到盜竊網上銀行密碼時，該策略也是經過深思熟慮的。

禁用的自動完成功能和簡單的按鍵記錄程序會導緻密碼被盜

您知道，當您開始在地址欄中輸入URL時，現代的瀏覽器會為您提供在瀏覽歷史記錄中發現的建議。對於許多人來說，使用其在線銀行平台意味著在地址欄中輸入幾個字母，然後按Enter。現代瀏覽器還提供了密碼管理功能，這意味著一旦他們進入銀行的網站，使用瀏覽器保存了憑據的用戶就會選擇正確的建議，並且其用戶名和密碼會自動填寫。如果他們的計算機感染了Metamorfo，則不會發生這種情況。

在主機上立足後，Metamorfo對註冊表進行了一些更改，從而禁用了大多數現代瀏覽器的自動填充功能。結果，用戶需要輸入銀行網站的完整URL（如果尚未將其保存為書籤），還需要手動輸入用戶名和密碼。當他們這樣做時，Metamorfo會在鍵盤記錄器組件的幫助下記錄登錄數據，並將其發送給騙子的C＆C。