查看: 1211|回复: 4
收起左侧

[IT业界] Ursnif木马变种正利用CAPTCHA验证来欺骗并窃取受害者信息

[复制链接]
蓝天二号
发表于 2021-8-18 12:25:15 | 显示全部楼层 |阅读模式
Bleeping Computer 报道称:Ursnif 网银木马的一个新变种(又称 Gozi),正在对粗心的受害者展开基于无害验证码的欺骗攻击,以窃取他们的敏感信息。MalwareHunterTeam 曝光了这款变种木马,可知当试图通过特定 URL 观看嵌入页面的 YouTube 视频时,它会引诱受害者下载一个所谓“console-play.exe”的恶意文件。
9523a7529c8efe0.jpg
恶意网站会显示一个虚假的 reCAPTCHA 验证界面,以证明访客是真人而不是机器人。

同时由于这个“播放控制台”是一个可执行文件,浏览器会向用户发出潜在的恶意软件威胁警告。即便如此,毫无戒心的用户还是很容易上钩。
ad998a5928b7daf.jpg
如上图所示,该网站会要求用户依次按下 B、S、Tab、A、F、以及回车键。对于熟悉快捷键操作的熟练计算机用户来说,明显知道 BSAF 这几个字母其实都是幌子。

因为在当前界面下,一旦你按下了 Tab 和回车键,就有可能在不知不觉中将 Ursnif 木马程序给保留下来。此时网页视频也会继续播放,因此具有相当大的迷惑性。
d0a2e8b59848227.jpg

.NET Helper 文件夹中的内容

如果下载运行了 console-play.exe,就会在系统 AppData 下的 Roaming 路径,创建一个名为“Bouncy for .NET Helper”的文件夹。

为了混淆视听,恶意软件制作者还特意在“BouncyDotNet.exe”主程序之外,夹杂了大量的诱饵文件。
df4c78da233da7a.jpg
注册表详情

据悉,BouncyDotNet.exe 会创建有助于 Ursnif 网银木马传播的感染性动态链接库(DLL)文件,以进一步窃取与凭证相关的敏感信息。

但这其实并不是本年度的第一波 Ursnif 恶意软件攻击,因为 Avast 早在 3 月份就指出,这款网银木马已经导致意大利 100 多家银行躺枪。
yyz219
头像被屏蔽
发表于 2021-8-18 16:26:12 | 显示全部楼层
现在信息安全堪忧
2457774381
发表于 2021-8-19 09:02:46 | 显示全部楼层
潜在的恶意软件威胁警告?别逗,凡是exe没见过不报的
ANY.LNK
发表于 2021-8-19 16:38:43 | 显示全部楼层
就担心有的人安全意识薄弱还把所有的安全防护措施都关了
itismelsy
发表于 2021-8-19 17:32:47 | 显示全部楼层
Tab和回车有什么用,浏览器的快捷键吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 04:02 , Processed in 0.125566 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表