圖片來源: 

Bitdefender

CAPTCHA是網站為防止網頁爬蟲而設計的驗證機制,以確定用戶是真人而非機器人程式,但是安全研究人員發現有一隻銀行木馬程式Gozi卻利用CAPTCHA企圖繞過瀏覽器的安全功能,以下載到用戶電腦。

Bleeping Computer報導,安全研究人員MalwareHunterTeam發現了銀行木馬Gozi的高明手法。一個影片連結在網路上流傳,當用戶點入連結網站準備觀看影片時,網路即跳出一個類似Google reCAPTCHA的圖形驗證。這則reCAPTCHA由數個鍵組成。提示訊息要求用戶依序點入鍵盤中的B、S、Tab鍵、 A、F、以及Enter鍵才能觀看。

研究人員指出,這其實是在瞞天過海下,誘使用戶繞過瀏覽器的防護,同意下載安裝程式。以Google Chrome而言,當用戶企圖從網站下載程式時,Chrome會出現提示訊息,要求使用者確認是「繼續」或「取消」。以本例而言,當用戶按到Tab鍵時,就會使Chrome的「繼續」鍵呈現準備。而當用戶按下reCAPTCHA中的Enter鍵時,就會開啟以下載並執行程式。

下載的動作會在用戶的「%AppData%\Bouncy for .NET Helper」資料夾中安裝很多檔案,其中的BouncyDotNet.exe持續執行,即啟動PowerShell指令,並建立銀行木馬Gozi(或稱Ursnif)的DLL檔。遭感染的用戶應儘速變更網銀密碼以免受害。

Gozi/Ursnif在受害者電腦中會竊取銀行帳密、下載更多惡意程式,並且遠端執行攻擊者的指令,被安全廠商列為五大惡意程式之一。今年三月Ursnif木馬也在歐洲橫行,超過百家義大利銀行客戶受害。

熱門新聞

Advertisement