近日,卡巴斯基實驗室的安全研究人員發現一款SpyEye惡意軟件的新變種。它能夠通過劫持計算機的攝像頭和麥克風,幫助網絡黑客監控網銀用戶,從而施展網絡詐騙。
據了解,SpyEye是一種專門攻擊在線銀行用戶的木馬程序。同Zeus木馬一樣,其最初的編寫者已經停止進行開發。但是這卻絲毫不妨礙其他網絡罪犯繼續在各種網絡攻擊中廣泛使用這一惡意軟件。SpyEye采用了基於插件的架構,這使得第三方惡意軟件開發者可以擴展其功能。卡巴斯基實驗室的惡意軟件分析師Dmitry Tarakanov最新發現的SpyEye變種具有劫持攝像頭和麥克風的功能。而這一功能是通過一個flashcamcontrol.dll插件實現的。
正如該插件的DLL名稱所示,這款新變種能夠通過Flash Player訪問計算機的上述兩個外圍設備。在正常情況下,用戶需要手動設置Flash播放器,選擇允許網站控制計算機的攝像頭和麥克風。但是,SpyEye的插件會直接修改Flash Player設置文件,偷偷將一些在線銀行網站設為白名單,默認允許這些網站使用上述設備。如下圖所示:
最初,卡巴斯基實驗室的研究人員推測這種功能可能是面部識別系統的一部分,因為有些銀行會采用這種安全驗證措施。雖然這種驗證手段的使用並不廣泛,但經過聯系相關銀行,我們獲悉這些銀行並沒有在其網站上采用任何涉及攝像頭的相關功能。卡巴斯基實驗室研究人員在分析另一個SpyEye組件時發現當受感染計算機訪問一些在線銀行網站時,該惡意軟件能夠將具有劫持攝像頭和麥克風功能的Flash內容注入到受攻擊的在線銀行網站,並可以在網頁中顯示假冒的相關提示信息,欺騙用戶。
網絡罪犯為什麼要監控受害用戶呢?有些銀行在進行在線交易時,需要用戶驗證身份,例如輸入銀行發送給用戶手機上的驗證碼或便攜式電子口令驗證碼。網絡罪犯需要這些驗證碼,才能夠竊取用戶銀行賬戶中的錢財。所以,網絡罪犯經常使用社交技巧試圖讓用戶洩漏這些信息。而有時候,銀行會打電話給客戶確認交易的真實性。所以,監控攝像頭和麥克風,對其實施網絡犯罪非常有用。
在與銀行工作人員的通話過程中,客戶會透露更多關於自身賬戶的敏感信息,以驗證自己的身份。這些信息可能包括客戶母親的名字、自己的生日、信用卡號以及社保號等,這些信息都可以用來進行電話銀行操作。通過麥克風,網絡罪犯可以監聽用戶的通話,之後可以假冒客戶撥打銀行電話。利用偷聽到的信息,網絡罪犯可以更改銀行賬戶登錄信息,完全控制受害用戶的賬號。另一方面,通過劫持攝像頭,網絡罪犯可以監控受害用戶在訪問被惡意軟件篡改過的在線銀行網址時的反應。因為網絡罪犯並不能保證其詐騙手段100%管用,通過監控用戶,他們可以改進和修改作案手段,提高攻擊的成功率。這表明,網絡罪犯現在不僅可以盜取受害用戶的錢財,甚至還能夠觀察受害者的一舉一動。這種網絡犯罪手段工作流程如下圖所示: