Gozi/Ursnif銀行木馬利用假CAPTCHA繞過瀏覽器防護植入電腦

CAPTCHA是網站為防止網頁爬蟲而設計的驗證機制，以確定用戶是真人而非機器人程式，但是安全研究人員發現有一隻銀行木馬程式Gozi卻利用CAPTCHA企圖繞過瀏覽器的安全功能，以下載到用戶電腦。

Bleeping Computer報導，安全研究人員MalwareHunterTeam發現了銀行木馬Gozi的高明手法。一個影片連結在網路上流傳，當用戶點入連結網站準備觀看影片時，網路即跳出一個類似Google reCAPTCHA的圖形驗證。這則reCAPTCHA由數個鍵組成。提示訊息要求用戶依序點入鍵盤中的B、S、Tab鍵、 A、F、以及Enter鍵才能觀看。

研究人員指出，這其實是在瞞天過海下，誘使用戶繞過瀏覽器的防護，同意下載安裝程式。以Google Chrome而言，當用戶企圖從網站下載程式時，Chrome會出現提示訊息，要求使用者確認是「繼續」或「取消」。以本例而言，當用戶按到Tab鍵時，就會使Chrome的「繼續」鍵呈現準備。而當用戶按下reCAPTCHA中的Enter鍵時，就會開啟以下載並執行程式。

下載的動作會在用戶的「%AppData%\Bouncy for .NET Helper」資料夾中安裝很多檔案，其中的BouncyDotNet.exe持續執行，即啟動PowerShell指令，並建立銀行木馬Gozi（或稱Ursnif）的DLL檔。遭感染的用戶應儘速變更網銀密碼以免受害。

Gozi/Ursnif在受害者電腦中會竊取銀行帳密、下載更多惡意程式，並且遠端執行攻擊者的指令，被安全廠商列為五大惡意程式之一。今年三月Ursnif木馬也在歐洲橫行，超過百家義大利銀行客戶受害。