从邮件开始:揭银行木马 Metamorfo 盗账户全程

从邮件开始:揭银行木马Metamorfo盗账户全程

近年来,窃取用户的银行详细信息已成为攻击者的普遍做法。Fortinet 网络安全研究人员发布的一份报告详细介绍了针对全球在线银行的恶意软件。

根据该报告,银行木马 Metamorfo 的目标客户是北美和南美的 20 多家知名在线银行。其中包括加拿大,秘鲁,巴西,墨西哥,西班牙,智利,赤道甚至美国。

Metomorfo 如何运作

在此网络钓鱼诈骗中,攻击始于电子邮件。这些发送给银行用户的网络钓鱼电子邮件声称包含有关发票或账单的信息。要访问发票内容,电子邮件会要求用户下载.ZIP 格式的文件。用户下载并在 Windows PC 上运行文件后,攻击就会开始。

用户运行文件时,它将执行检查以确保它不在沙盒或虚拟环境中运行。然后,它在新创建的随机字符串文件夹中解压缩.ZIP 文件。该文件夹包含三个具有随机名称的文件。这三个文件之一是 Autolt 脚本执行程序。据 Fortinet 研究人员称使用 Autolt 的主要原因可能是绕过了任何防病毒软件的检测。

现在,由于 Metamorfo 木马已准备好在受害计算机上运行,​​因此它将从终止运行的浏览器(例如 Firefox,Chrome,Microsoft Edge 和 Opera)开始。终止过程之后,它将继续修改某些注册表项值,以禁用浏览器的自动建议和自动填充功能。

现在,用户必须输入整个 URL,在浏览器中登录详细信息和密码,并且禁用自动建议和自动填充功能。这个简单的技巧使恶意软件的按键记录程序功能可以记录受害者输入的操作。除了这些输入外,恶意软件还收集有关系统的信息,例如操作系统版本,计算机名称和其他常规信息。

完全执行后,恶意软件会向攻击者的命令和控制服务器发送 “后封包”。这是为了通知攻击者计算机已被感染。该恶意软件还具有可以监视链接到目标银行的 32 个关键字的功能。它使用这些关键字实时通知攻击者受害人何时尝试访问银行服务。

如何预防攻击

现在,为了防止被该恶意软件抢劫,首先,您应该注意未知或可疑的电子邮件。即使电子邮件声称包含有价值的信息,也请务必检查电子邮件的来源以及它要求您下载的文件。另外,请确保在计算机上运行具有所有最新安全更新的软件的最新版本。安装防病毒软件还可以帮助在恶意软件在系统上运行之前对其进行检测。

从邮件开始:揭银行木马Metamorfo盗账户全程
(0)
火星的头像火星

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注