一旦發現鎖定的銀行,木馬程式就會關閉當前的瀏覽器視窗,然後顯示一個錯誤訊息,接著再開啟一個新的假 Google Chrome 視窗。由於瀏覽器視窗的切換非常順暢,因此整個過程使用者幾乎無法察覺。若瀏覽器是 Internet Explorer 或 Firefox,則原始視窗會留著,但還是會顯示錯誤訊息,然後再顯示假瀏覽器視窗。
一位在地下市場上化名為 Lordfenix 的 20 歲巴西大專青年,現已成為巴西名列前茅的銀行惡意程式作者。Lordfenix 在地下市場上的名聲,來自於他開發了上百個網路銀行木馬程式,每一個價值皆在 300 美元以上。Lordfenix 是今日如雨後春筍般不斷冒出的年輕知名網路犯罪個體戶的最新案例。
Lordfenix 是誰?
Lordfenix 是巴西托坎廷斯 (Tocantins) 地區的一位 20 歲電腦系學生。其最早的活動記錄大約可追溯到 2013 年 4 月左右。當時他使用的是另一個化名:Filho de Hakcer (在葡萄牙文意為「駭客之子」,不過卻拼錯字)。當時他在網路上貼文徵求木馬程式的製作方法。
圖 1:Lordfenix (當時為 Filho de Hakcer ) 在網路上的貼文。
根據他 Facebook 炫耀文中的照片來看 (日期為 2013 年 9 月),他在這一行似乎混得不錯。
圖 2:他在 Facebook 上貼文炫耀自己利用木馬程式賺錢。
利用假瀏覽器視窗竊取資訊
從此之後,Lordfenix 便靠著開發和販售銀行木馬程式賺錢,其中之一就是趨勢科技所偵測到的 TSPY_BANKER.NJH。此木馬程式會偵測使用者是否在電腦上輸入了某些銀行的網址,這些銀行就是它鎖定的目標,包括:Banco de Brasil (巴西銀行)、Caixa 和 HSBC Brasil (巴西匯豐銀行) 等等。
一旦發現,該程式就會關閉當前的瀏覽器視窗 (若瀏覽器是 Google Chrome 的話),然後顯示一個錯誤訊息,接著再開啟一個新的假 Google Chrome 視窗。由於瀏覽器視窗的切換非常順暢,因此整個過程使用者幾乎無法察覺。若瀏覽器是 Internet Explorer 或 Firefox,則原始視窗會留著,但還是會顯示錯誤訊息,然後再顯示假瀏覽器視窗。
圖 3:假瀏覽器視窗。
圖 4:假冒的 HSBC Brasil (巴西匯豐銀行) 網站。
圖 5:假冒的 Banco de Brasil (巴西銀行) 網站
若使用者在假冒網站上輸入了自己的帳號登入資訊,惡意程式就會擷取到這些資訊,並利用電子郵件傳回給背後的駭客,而郵件地址就是 Lordfenix 當年以「Filho de Hakcer」為化名時期的地址。
為了確保不被資安軟體偵測,此惡意程式還會將 GbpSV.exe 這個執行程序停止,它是 G-Buster Browser Defense 這套防護軟體的執行程序,是許多巴西銀行用來防範資訊竊盜以及保護客戶線上交易隱私的一套資安軟體。
免費的網路犯罪
Lordfenix 現在對自己的技術已經很有自信,我們發現他提供了三個功能完整的免費版銀行木馬程式原始碼給地下論壇會員使用。他表示這些免費版本可用來竊取四家不同銀行的客戶登入資訊。但免費版也不是沒有限制,若有人想要增加其他銀行的話就必須和他聯繫,此時他就會兜售 TSPY_BANKER.NJH。此銀行木馬程式經我們確認,確實能夠運作。
圖 6:宣傳免費銀行木馬程式原始碼的貼文。
此外,我們發現他也在自己的 Skype 個人檔案上宣傳自己的銀行木馬程式。此處他稱這些木馬程式為鍵盤側錄代理器 (KL proxy),實際的鍵盤側錄能力視惡意程式而定。
圖 7:Lordfenix 的 Skype 個人檔案。
網路犯罪創業
根據我們研究,從 2013 年 4 月至今 Lordfenix 已撰寫了超過 100 個不同的銀行木馬程式,這還不包括他開發的其他惡意工具。若每一個木馬程式以 1,000 巴西幣 (約 320 美元) 來計算,這個年輕的網路犯罪駭客顯然已經將其程式開發天份轉換成一項利潤豐厚的非法事業。
今日的環境除了惡意程式開發變得容易之外,還有其他因素也促使了 Lordfenix 開創自己的一番小小事業:
- 巴西的網路銀行使用者數量龐大,光 2013 年該國就有大約 51% 的銀行交易透過網路進行。
- 數位犯罪並非巴西政府要打擊的頭號問題,因此,目前的罰則相當輕微。
儘管 Lordfenix 只是一個個體戶,而且還是個年僅 20 歲的年輕小夥子,但卻已經在同業之間闖出了名號。他的故事 (年紀輕輕就已成為重大網路犯罪份子) 與中國開發勒索軟體的青年幾乎如出一轍。而且這並非我們本季觀察到的第一個網路犯罪個體戶,例如加拿大的 Frapstar 和巴西的 FighterPOS 以及奈及利亞的 HawkEye,全都是靠著簡單惡意程式就能賺錢的網路犯罪個體戶。
在網路犯罪的世界裡,新手或老手並不重要,結果是一樣的:使用者終將淪為受害者。
原文出處:Lordfenix: 20-year-old Brazilian Makes Profit Off Banking Malware
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接