Furtarea detaliilor bancare ale utilizatorilor a devenit o practică obișnuită a atacatorilor în ultima vreme. Un raport publicat de cercetătorii de securitate cibernetică de la Fortinet detaliază despre un malware care vizează băncile online la nivel global.
Conform raportului, troianul bancar, Metamorfo a vizat utilizatorii a peste 20 de bănci online proeminente în America de Nord și de Sud. Aceasta include țări precum Canada, Peru, Brazilia, Mexic, Spania, Chile, Equador și chiar SUA.
Cum funcționează Metomorfo
În această înșelătorie de phishing, atacul începe cu un e-mail. Aceste e-mailuri de phishing trimise utilizatorilor băncilor pretind că conțin informații despre o factură sau o factură. Pentru a accesa conținutul facturii, e-mailul solicită utilizatorului să descarce un fișier în format .ZIP. Odată ce utilizatorul descarcă și rulează fișierul pe un PC Windows, începe atacul.
Când un utilizator rulează fișierul, acesta efectuează o verificare pentru a se asigura că nu rulează într-un sandbox sau într-un mediu virtual. Apoi decomprimă fișierul .ZIP într-un folder șir aleatoriu nou creat. Dosarul conține trei fișiere cu nume aleatorii. Unul dintre aceste trei fișiere este un program de execuție Autolt Script. Principalul motiv pentru utilizarea unui Autolt ar putea fi ocolirea detectării de către orice software antivirus, potrivit unui cercetător Fortinet.
Acum, deoarece troianul Metamorfo este gata să intre pe computerul victimei, acesta începe prin a opri browserele care rulează, cum ar fi Firefox, Chrome, Microsoft Edge și Opera. După procesul de reziliere, acesta trece la modificarea unora dintre valorile cheii de registry pentru a dezactiva funcționalitatea de sugestie automată și completare automată a browserelor.
Acum, utilizatorii trebuie să introducă adrese URL întregi, să se conecteze la detalii și parole în browsere, cu funcțiile de sugestie automată și completare automată dezactivate. Acest truc simplu permite funcției keylogger a malware-ului să înregistreze acțiunile din intrarea victimei. În afară de aceste intrări, malware-ul colectează și informații despre sistem, cum ar fi versiunea sistemului de operare, numele computerului și alte informații generale.
După executarea completă, malware-ul trimite apoi un „Post Packet” către serverul de comandă și control al atacatorului. Aceasta este pentru a informa atacatorul că un computer a fost infectat. Programul malware are, de asemenea, o funcție care poate monitoriza 32 de cuvinte cheie care sunt legate de băncile vizate. Folosește aceste cuvinte cheie pentru a notifica atacatorul în timp real cu privire la momentul în care victima încearcă să acceseze serviciile bancare.
Cum să preveniți atacul
Acum, pentru a preveni căderea pradă acestui malware, mai întâi, trebuie să aveți grijă la e-mailurile necunoscute sau suspecte. Chiar dacă e-mailurile susțin că conțin informații valoroase, asigurați-vă că verificați sursa e-mailului și fișierul pe care vi se solicită să îl descărcați. De asemenea, asigurați-vă că rulați cea mai recentă versiune a software-ului în aparatul dvs. cu toate cele mai recente actualizări de securitate. Instalarea unui antivirus poate ajuta, de asemenea, la detectarea malware-ului înainte de a fi rulat pe sistem.