Gozi/Ursnif银行木马利用假CAPTCHA绕过浏览器防护植入计算机

CAPTCHA是网站为防止网页爬虫而设计的验证机制,以确定用户是真人而非机器人程序,但是安全研究人员发现有一只银行木马程序Gozi却利用CAPTCHA企图绕过浏览器的安全功能,以下载到用户计算机。

Bleeping Computer报道,安全研究人员MalwareHunterTeam发现了银行木马Gozi的高明手法。一个视频连接在网络上流传,当用户点入连接网站准备观看视频时,网络即跳出一个类似Google reCAPTCHA的图形验证。这则reCAPTCHA由数个键组成。提示消息要求用户依次点入键盘中的B、S、Tab键、A、F、以及Enter键才能观看。

研究人员指出,这其实是在瞒天过海下,诱使用户绕过浏览器的防护,同意下载安装程序。以Google Chrome而言,当用户企图从网站下载程序时,Chrome会出现提示消息,要求用户确认是“继续”或“取消”。以本例而言,当用户按到Tab键时,就会使Chrome的“继续”键呈现准备。而当用户按下reCAPTCHA中的Enter键时,就会打开以下载并执行程序。

下载的动作会在用户的“%AppData%\Bouncy for .NET Helper”文件夹中安装很多文件,其中的BouncyDotNet.exe持续执行,即启动PowerShell指令,并创建银行木马Gozi(或称Ursnif)的DLL档。遭感染的用户应尽快变更网银密码以免受害。

Gozi/Ursnif在受害者计算机中会窃取银行帐密、下载更多恶意程序,并且远程执行攻击者的指令,被安全厂商列为五大恶意程序之一。今年三月Ursnif木马也在欧洲横行,超过百家意大利银行客户受害。

发表评论