Bleeping Computer 報道稱:Ursnif 網銀木馬的一個新變種(又稱 Gozi),正在對粗心的受害者展開基於無害驗證碼的欺騙攻擊,以竊取他們的敏感信息。MalwareHunterTeam 曝光了這款變種木馬,可知當試圖通過特定 URL 觀看嵌入頁面的 YouTube 視頻時,它會引誘受害者下載一個所謂“console-play.exe”的惡意文件。
惡意網站截圖
惡意網站會顯示一個虛假的 reCAPTCHA 驗證界面,以證明訪客是真人而不是機器人。
同時由於這個“播放控制台”是一個可執行文件,瀏覽器會向用戶發出潛在的惡意軟件威脅警告。即便如此,毫無戒心的用戶還是很容易上鉤。
虛假的 reCAPTCHA 人機驗證界面
如上圖所示,該網站會要求用戶依次按下 B、S、Tab、A、F、以及回車鍵。對於熟悉快捷鍵操作的熟練計算機用戶來說,明顯知道 BSAF 這幾個字母其實都是幌子。
因為在當前界面下,一旦你按下了 Tab 和回車鍵,就有可能在不知不覺中將 Ursnif 木馬程序給保留下來。此時網頁視頻也會繼續播放,因此具有相當大的迷惑性。
.NET Helper 文件夾中的內容
如果下載運行了 console-play.exe,就會在系統 AppData 下的 Roaming 路徑,創建一個名為“Bouncy for .NET Helper”的文件夾。
為了混淆視聽,惡意軟件製作者還特意在“BouncyDotNet.exe”主程序之外,夾雜了大量的誘餌文件。
註冊表詳情
據悉,BouncyDotNet.exe 會創建有助於 Ursnif 網銀木馬傳播的感染性動態鏈接庫(DLL)文件,以進一步竊取與憑證相關的敏感信息。
但這其實並不是本年度的第一波 Ursnif 惡意軟件攻擊,因為 Avast 早在 3 月份就指出,這款網銀木馬已經導致意大利 100 多家銀行躺槍。