前言:一名年僅20歲的大學生,開發的每一個網銀木馬在黑市的售賣價均超過300美刀,2年時間謀取了大量不義之財,聽起來不可思議?他就是巴西最大的惡意軟體制造者——Lordfenix,
Lordfenix是誰?
Lordfenix是一個來自巴西Tocantins的計算機系的學生,今年20歲,我們能夠發現他的活動要追溯到2013年4月,當時,他在論壇上發帖,尋求其他程式員幫助他共同制造網銀木馬,
圖1所示,Lordfenix的論壇帖子,then Filho de Hakcer
基于他在Facebook上2013年9月發布照片,這充分表明他在他的作品中是非常成功的,
圖2,Lordfenix在Facebook發帖子炫耀他的木馬撰寫成功并且已經帶來了收益
通過偽造的瀏覽器竊取用戶資訊
Lordfenix此后繼續開發并且公開售賣網銀木馬,我們發現并檢測的asTSPY_BANKER.NJH就是他制作的網銀木馬之一,當用戶打開任意銀行的url,該木馬可以對url進行目標鎖定,這些目標銀行包括,Banco de Brasil,Caixa銀行,和巴西 HSBC(匯豐銀行),
這種網銀木馬在鎖定目標后可以直接關閉運行在Google Chrome瀏覽器的視窗,顯示一個錯誤資訊,然后重新打開一個偽造的Chrome視窗,由于瀏覽器的視窗是基本無縫切換,所以整個程式運行程序可以忽略不計,如果用戶使用的是IE或者Firefox瀏覽器,原始的視窗仍然是打開的,但是仍然會顯示錯誤資訊,并且彈出偽造的瀏覽器視窗,
圖3,偽造的瀏覽器視窗
圖4,偽造巴西匯豐銀行網站
圖5,偽造Banco de Brasil銀行網站
Lordfenix
如果用戶在偽造的瀏覽器下面輸入他的登錄憑證,該木馬將通過電郵的方式將用戶資訊發送給攻擊者----在Filho de Hakcer的日志里
Lordfenix使用同一個電子郵件,
為了繞過殺毒軟體的查殺,該網銀木馬會自動終止GbpSV.exe行程,GbpSV.exe行程是一個與G-Buster瀏覽器防御系統相關聯的,許多巴西銀行使用這個安全程式用來抵御資訊竊取,保護用戶的隱私,以及在線交易期間的財產安全,
免費的網路犯罪
Lordfenix對自己的能力非常有信心,我們發現他為其地下論壇的成員免費提供全功能的銀行木馬源代碼,Lordfenix表示他這種開源的網銀木馬可以竊取4家銀行的用戶資訊,但是這種免費有一定的限制,如果有成員想要竊取其他銀行的更多資訊,他們將會聯系Lordfenix,Lordfenix將會把TSPY_BANKER.NJH賣給他們,事實上TSPY_BANKER.NJH是我們之前發現并檢測的木馬,
圖6,論壇發布的免費網銀木馬源代碼
我們也發現Lordfenix也通過在Skype的個人資料傳播他的網銀木馬資訊,在吉隆坡這種網銀木馬被稱為鍵盤記錄器----一種具有鍵盤記錄功能的惡意軟體,
圖7,Lordfenix在Skype的個人說明
計算機罪犯中的暴發戶
根據我們的調查研究發現,自2013年4月以來Lordfenix制造了超過100種的網銀的木馬,這其中還不包括他制造的其他惡意工具,每一個網銀木馬均價值1000雷亞爾(約320美元),這個年輕的計算機罪犯,正在利用他在編程方面的天賦謀取不正當的利益,
除了可以開發出這種強大的網銀木馬,還有一些其他的因素,促使Lordfenix創建自己的利益鏈:
就目前情況來看巴西有一個巨大的網上銀行用戶基礎,盡在2013年,大約51%的國內銀行交易都是通過網路完成的,
抓取計算機犯罪的罪犯不是巴西現在的首要任務,由于現在的法律仍然不夠健全,最犯罪的懲罰力度仍熱非常低,
盡管孤軍奮戰,并且年僅20歲,Lordfenix很努力的設法提高在黑色產業中的知名度,他的故事----年輕的計算機罪犯造成很大的危害----與中國小孩開發的移動端勒索軟體所造成的影響力是不盡相同的,他不是我們這個季度注意到的唯一一個獨自行動的黑客,
像Frapstar(加拿大)和網路犯罪背后FighterPOS(巴西)和鷹眼(尼日利亞)所有的獨自行動的黑客均使用基本的惡意軟體來謀取利益,
在網路犯罪中,無論是新手還是老手,造成的結果都是相同的:普通用戶會成為受害者,
如果你想了解更多的資料和素材請關注我的主頁哦!!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/195975.html
標籤:其他