Descoperit de cercetătorii de securitate cibernetică de la Fortinet , troianul bancar Metamorfo a vizat utilizatorii a peste 20 de bănci online din țări din întreaga lume . La fel ca multe alte campanii de hacking, Metamorfo începe cu e-mailuri de tip phishing care, în acest caz, susțin că au informații despre o factură și invită utilizatorul să descarce o arhiva de tip ZIP. Dupa descărcarea și executarea fișierului, victima permite Metamorfo să execute și să ruleze pe o mașină Windows.
După instalare Metamorfo rulează un program de execuție script Autolt. Acest limbaj de script este conceput pentru automatizarea interfeței de utilizator grafice Windows și a altor scripturi generale – dar a fost folosit de malware ca mijloc de a ocoli antivirusul.
Odată ce rulează pe sistemul Windows compromis, Metamorfo preia controlul si închide orice browsere care rulează. Impiedică apoi orice ferestre noi ale browserului să utilizeze completarea automată în câmpurile de introducere a datelor.
Acest lucru împiedică utilizatorul să utilizeze funcții auto-complete pentru a introduce nume de utilizator, parole și alte informații, permițând funcționalității keylogger-ului malware să colecteze datele pe care utilizatorii sunt astfel obligați să le redacteze. Apoi trimite aceste date înapoi la un server de comandă și control condus de atacatori.
Metamorfo include chiar și o funcție care monitorizează 32 de cuvinte cheie asociate băncilor vizate, astfel încât atacatorii să poată fi avertizați în timp real cu privire la momentul în care o victimă încearcă să acceseze servicii online.
Cercetătorii nu au dezvăluit cuvintele cheie sau numele instituțiilor financiare vizate, deoarece campania Metamorfo este încă activă.
Sursa : https://www.zdnet.com/