IBM 揭示了一种名为 UnregStealer 的银行木马,它正在瞄准拉丁美洲的银行,同时伪装成一个 Chrome 浏览器扩展。资深威胁研究员 Itzhak Chimino 报告称,该恶意软件通过展示有关强制 SSL 证书更新的虚假安全警告来诱骗用户安装它。这种木马依赖人工手动监督运行,使其几乎不被沙盒和行为检测系统发现,因为这些系统从未看到载荷被激活。该操作方式使 UnregStealer 能从访问被瞄准的银行门户的受害者那里窃取会话 Cookie、密码、一次性密码和账号。
UnregStealer 以 SSL 证书更新为伪装
据 Chimino 称,UnregStealer 通过编造的安全警告来欺骗用户。基于可执行文件的命名约定和投送模式,受害者会看到一个看似安全警告的提示,告知他们浏览器需要进行强制 SSL 证书更新。该证书完全是伪造的,并不存在这种浏览器要求。这只是一段用来让受害者运行可执行文件的“自圆其说”的说辞。
恶意软件通过会话监控窃取银行凭据
当用户浏览互联网时,该恶意软件会运行一个脚本,用来检查受害者是否正在访问被列入目标清单的银行门户网站。若是这样,恶意软件就会窃取受害者正在访问的银行网站的会话 Cookie。每当点击某个字段并输入信息时,恶意软件就会捕获诸如密码、一次性密码和账号等特权信息。
手动操作助力躲避检测系统
Chimino 解释道,这种木马包含一名真实的操作者,他会实时观看每个受害者会话并手动触发。该变体使这次行动几乎对沙盒和行为检测系统“隐形”,因为这些系统从未看到载荷被激活。一旦信息被捕获,UnregStealer 的下一步行动将由其人工操作者决定。
IBM 识别出扩大目标范围的潜力
据 Chimino 称,UnregStealer 银行木马具备能力并可能带来更大的威胁。观察到的基础设施模式表明,操作者具备将目标范围扩大到本次调查尚未证实内容之外的能力与动机。
常见问题
什么是 UnregStealer,它如何瞄准受害者?
UnregStealer 是一种银行木马,通过伪装成 Chrome 浏览器扩展来瞄准拉丁美洲的银行。它会通过有关强制 SSL 证书更新的虚假安全警告诱使用户安装,该警告完全是伪造的。
UnregStealer 如何躲避检测系统?
该恶意软件包含一名真实的操作者,他会实时观看每个受害者会话并手动触发。这种手动操作使这次行动几乎对沙盒和行为检测系统“隐形”,因为这些系统从未看到载荷被激活。
UnregStealer 会从受害者那里窃取哪些信息?
UnregStealer 会窃取银行网站的会话 Cookie,并在受害者于被瞄准的银行门户上点击字段并输入信息时捕获诸如密码、一次性密码和账号等特权信息。
