Bankovní trojan Metamorfo zneužívá funkci AutoHotKey k zabránění detekce

login cyber security

Výzkumníci varovali, že bankovní trojan Metamorfo zneužívá AutoHotKey (AHK) a kompilátor AHK k vyhýbání se detekci a krádeži informací uživatelů.

AHK je skriptovací jazyk pro Windows původně vyvinutý pro vytváření klávesových zkratek.

Podle Cofense Phishing Defence Center (PDC) je malware (aka Mekotio) zaměřen na uživatele španělského jazyka pomocí dvou samostatných e-mailů jako počátečního vektoru infekce. Jedním z nich je údajný požadavek na stažení souboru chráněného heslem; a druhým je komplikované falešné oznámení o nevyřízených právních dokumentech s odkazem, který stáhne soubor .ZIP.

V obou případech je škodlivý kód obsažen v souboru .ZIP, který je nakonec stažen do počítačů obětí. Obsahuje tři soubory: legitimní spustitelný soubor kompilátoru AHK (.EXE), škodlivý skript AHK (.AHK) a samotný bankovní trojan (.DLL). Ty jsou rozbaleny do náhodně pojmenovaného souboru umístěného v C: \\ ProgramData.

Skript poté spustí kompilátor AHK, kompilátor AHK provede skript AHK a skript AHK nakonec načte Metamorfo do paměti kompilátoru AHK.

„Metamorfo pak bude fungovat z procesu kompilátoru AHK, přičemž jako přední část použije podepsanou binární verzi, která znesnadní detekci řešení koncových bodů,“ vysvětlili vědci.

Pro udržení jsou kopie všech tří souborů také umístěny do nové složky.

„Poté použije spouštěcí klíč k zahájení řetězce provádění pokaždé, když se systém restartuje provedením přejmenované kopie kompilátoru AHK,“ uvádí se ve zprávě.

Metamorfo zahájil život jako latinskoamerický bankovní trojan, který byl poprvé objeven v dubnu 2018, v různých kampaních, které sdílejí klíčové společné rysy. Jeho kampaně však mají malé „morfující“ rozdíly – což je význam jeho názvu.

Varianta, která se objevila například v únoru 2020, zabíjí pole pro automatické zadávání dat v prohlížečích a nutí oběti, aby si vypisovala svá hesla – která pak sleduje pomocí keyloggeru.

Tento trik je podle PDC také přítomen v posledních útocích, kdy se útočníci zaměřují na zákazníky bank v Latinské Americe a Evropě (včetně Francie, Portugalska a Španělska).

Metamorfo monitoruje aktivitu prohlížeče a hledá cílené banky, které jsou uvedeny v podobě řetězců v paměti procesu kompilátoru AHK, vysvětlili vědci. Když oběť otevře jednu z cílených bankovních stránek, Metamorfo ji překryje falešnou verzí webové stránky určené k získání pověření.

Tato verze trojského koně může také sledovat bitcoinové adresy zkopírované do schránky a nahradit je adresami útočníků.

Více na: threatpost.com

Napsat komentář