Gadgetshowto
Å stjele bankinformasjon om brukere har blitt en vanlig praksis for angripere i nyere tid. En rapport publisert av cybersecurity-forskerne ved Fortinet detaljerte om en skadelig programvare som er målrettet mot nettbanker globalt.
I henhold til rapporten, banktrojanen, Metamorfo har målrettet brukere av mer enn 20 fremtredende nettbanker i Nord- og Sør-Amerika. Dette inkluderer land som Canada, Peru, Brasil, Mexico, Spania, Chile, Equador og til og med USA.
Hvordan Metomorfo fungerer
I denne phishing-svindelen starter angrepet med en e-post. Disse phishing-e-postene som sendes til brukere av bankene, hevder å inneholde informasjon om en faktura eller en regning. For å få tilgang til fakturainnholdet, ber e-posten brukeren om å laste ned en fil i .ZIP-format. Når brukeren laster ned og kjører filen på en Windows-PC, starter angrepet.
Når en bruker kjører filen, utfører den en kontroll for å sikre at den ikke kjører i en sandkasse eller et virtuelt miljø. Deretter komprimerer den .ZIP-filen i en nyopprettet tilfeldig strengmappe. Mappen inneholder tre filer med tilfeldige navn. En av disse tre filene er et Autolt Script-kjøringsprogram. Hovedårsaken til å bruke en Autolt kan være å omgå gjenkjenning av hvilken som helst antivirusprogramvare, ifølge en Fortinet-forsker.
Nå som Metamorfo-trojanen er klar til å gå på offerdatamaskinen, begynner den med å avslutte nettleserne som Firefox, Chrome, Microsoft Edge og Opera. Etter avslutningsprosessen fortsetter den med å endre noen av registernøkkelverdiene for å deaktivere funksjonene for automatisk foreslå og automatisk fylling av nettleserne.
Nå, brukerne må skrive inn hele URL-er, logge på detaljer og passord i nettleserne, med funksjoner for automatisk forslag og automatisk fylling deaktivert. Dette enkle trikset gjør det mulig for keylogger-funksjonen til skadelig programvare å registrere handlingene fra innspillet fra offeret. Bortsett fra disse inngangene, samler skadelig programvare også informasjon om systemet, som OS-versjon, datamaskinnavn og annen generell informasjon.
Etter full utførelse, malware sender deretter en "Post Packet" til angriperens kommando- og kontrollserver. Dette for å informere angriperen om at en datamaskin har blitt infisert. Den skadelige programvaren har også en funksjon som kan overvåke 32 søkeord som er knyttet til de målrettede bankene. Den bruker disse nøkkelordene for å varsle angriperen i sanntid om når offeret prøver å få tilgang til banktjenestene.
Hvordan forhindre angrepet
Nå, for å forhindre at denne skadelige programvaren blir bytte, bør du først være forsiktig med ukjente eller mistenkelige e-poster. Selv om e-postene hevder å inneholde verdifull informasjon, må du kontrollere kilden til e-posten og filen den ber deg laste ned. Sørg også for å kjøre den nyeste versjonen av programvaren på maskinen din med alle de siste sikkerhetsoppdateringene. Installering av et antivirus kan også hjelpe til med å oppdage skadelig programvare før den kjøres på systemet.
