Gadgetshowto
At stjæle bankoplysninger om brugere er blevet en almindelig praksis for angribere i nyere tid. En rapport offentliggjort af cybersikkerhedsforskerne på Fortinet detaljerede om en malware, der er målrettet mod onlinebanker globalt.
I henhold til rapporten, banktrojanen, Metamorfo har målrettet brugere af mere end 20 fremtrædende onlinebanker i Nord- og Sydamerika. Dette inkluderer lande som Canada, Peru, Brasilien, Mexico, Spanien, Chile, Equador og endda USA.
Sådan fungerer Metomorfo
I denne phishing-fidus starter angrebet med en e-mail. Disse phishing-e-mails sendt til brugere af bankerne hævder at indeholde oplysninger om en faktura eller en regning. For at få adgang til fakturaindholdet beder e-mailen brugeren om at downloade en fil i .ZIP-format. Når brugeren downloader og kører filen på en Windows-pc, starter angrebet.
Når en bruger kører filen, udfører den en kontrol for at sikre, at den ikke kører i en sandkasse eller et virtuelt miljø. Derefter dekomprimeres .ZIP-filen i en nyoprettet tilfældig strengmappe. Mappen indeholder tre filer med tilfældige navne. En af disse tre filer er et Autolt Script-eksekveringsprogram. Hovedårsagen til brugen af en Autolt kan være at omgå detektion med al antivirussoftware, ifølge en Fortinet-forsker.
Nu da Metamorfo-trojanen er klar til at gå på offercomputeren, starter den med at afslutte de kørende browsere som Firefox, Chrome, Microsoft Edge og Opera. Efter afslutningsprocessen går den videre til at ændre nogle af registreringsdatabasenøgleværdierne for at deaktivere browsernes auto-suggest og auto-fill-funktionalitet.
Nu, brugerne er nødt til at skrive hele URL'er, logge på detaljer og adgangskoder i browserne, med funktionerne auto-suggest og auto-fill deaktiveret. Dette enkle trick gør det muligt for keylogger-funktionen af malware at registrere handlinger fra offerets input. Bortset fra disse input indsamler malware også oplysninger om systemet, såsom OS-version, computernavn og anden generel info.
Efter fuld udførelse, malware sender derefter en "Post-pakke" til angriberens kommando- og kontrolserver. Dette er for at informere angriberen om, at en computer er inficeret. Malwaren har også en funktion, der kan overvåge 32 nøgleord, der er knyttet til de målrettede banker. Det bruger disse nøgleord til at underrette angriberen i realtid om, hvornår offeret forsøger at få adgang til banktjenesterne.
Sådan forhindres angrebet
Nu for at forhindre, at denne malware bliver bytte, skal du først være forsigtig med ukendte eller mistænkelige e-mails. Selvom e-mails hævder at indeholde værdifulde oplysninger, skal du kontrollere kilden til e-mailen og den fil, den beder dig om at downloade. Sørg også for at køre den nyeste version af softwaren på din maskine med alle de nyeste sikkerhedsopdateringer. Installation af et antivirus kan også hjælpe med at opdage malware, før det køres på systemet.
