新版金融木馬Cerberus可竊取Google Authenticator所產生的一次性密碼

荷蘭行動資安業者ThreatFabric在鼠年（RAT）公布了多款具備遠端存取木馬（Remote Access Trojan，RAT）能力的惡意程式，其中的一款Cerberus甚至可竊取Google Authenticator所產生一次性密碼。

遠端存取木馬是駭客為了能夠自遠端控制所駭入的裝置而添增的功能，在ThreatFabric所揭露的RAT行動惡意程式中，Cerberus、Gustuff、Hydra與Anubis的本質皆為金融木馬，而Ginp只是個專門竊取簡訊的惡意程式。

2019年6月出現的Cerberus最早只是用來汲取受駭裝置的個人身分資訊，當時尚缺乏閃避偵測的能力，但已逐漸取代Anubis的地位。但ThreatFabric在今年1月中發現，Cerberus作者更新了該程式，新增了RAT能力，讓它不但能夠竊取使用者解鎖螢幕的憑證，還能從Google Authenticator中盜走一次性密碼。

研究顯示，Cerberus的RAT功能可瀏覽裝置的檔案系統並下載裝置內容，而且還能在裝置上執行遠端控制程式TeamViewer，以讓駭客自遠端建立連結。一旦成功啟用了TeamViewer，即允許駭客變更裝置設定、安裝或移除程式，也能執行裝置上所安裝的任何程式。

至於Cerberus竊取使用者解鎖憑證的方式很簡單，它就是在解鎖螢幕上覆蓋一層介面，要求使用者解鎖螢幕，並紀錄使用者所輸入的PIN碼或解鎖圖形，取得該憑證之後，駭客就能隨時自遠端操作受駭裝置。

而Google Authenticator則是Google的身分驗證程式，可用來產生一次性密碼以供Google或第三方服務進行雙因素身分認證。研究人員指出，Cerberus可在Google Authenticator執行時直接取得所產生的密碼，並將它傳送到駭客所掌控的伺服器上。

雖然ThreatFabric所發現的Cerberus樣本已具備強化的RAT能力，但截至今年2月底尚未在地下論壇中看到Cerberus作者宣傳該功能，猜測此一版本的Cerberus仍在測試中，不過應該很快就會問世。