freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

巴西最大银行木马制造者:年仅20岁的大学生Lordfenix 金币
2015-07-02 11:09:21

一名年仅20岁的大学生,开发的每一个网银木马在黑市的售卖价均超过300美刀,2年时间谋取了大量不义之财。听起来不可思议?他就是巴西最大的恶意软件制造者——Lordfenix。

年仅20岁的木马开发者

Lordfenix是一名巴西的计算机系学生,今年20岁。我们最早发现他的恶意活动是在2013年4月。当时他正在在论坛发帖寻求其他程序员共同开发网银木马。

下面是他2013年9月在Facebook上发的炫富图,卖木马真心赚了不少

木马分析

asTSPY_BANKER.NJH是Lordfenix制作的网银木马之一。当用户打开任意银行的url,木马会根据url进行锁定,锁定目标包括Banco de银行,Caixa银行,和巴西汇丰银行。

如果用户使用的是Google Chrome浏览器,网银木马会立即关闭当前浏览器窗口并显示一个错误信息,然后重新打开一个伪造的——整个切换过程非常迅速以至于用户根本不会察觉,所以整个程序运行过程可以忽略不计。如果用户的浏览器是IE或FireFox,原窗口会保持开启,但依然会出现错误信息并弹出伪造窗口。

伪造浏览器窗口

伪造的HSBC网银

伪造的Banco de网银

当用户在伪造网银的“钓鱼”页面中下面输入用户名密码,这些信息将通过邮件的方式发送给攻击者。

为了绕过杀毒软件的查杀,网银木马会自动终止GbpSV.exe进程。GbpSV.exe是浏览器安全软件G-Buster的相关进程,许多巴西银行使用这个安全程序保护用户的交易安全。

免费版

Lordfenix对自己的能力非常自信,我们发现他为其地下论坛的成员免费提供全功能的网银木马源代码。Lordfenix声称他的开源木马可以窃取4家银行的用户信息。但是如果想要“搞定”
其他银行就得收费了。

Lordfenix论坛中发布的免费网银木马源代码

Lordfenix还通过聊天工具Skype上的个人签名售卖网银木马。

Lordfenix何能快速“致富”

根据趋势科技的调查数据,自2013年4月以来,Lordfenix开发了超过100种网银木马,这其中还不包括他开发的其他恶意工具。每个网银木马均价值为1000雷亚尔(约320美元),这使得他在短时间内获得了巨额财富。

除了开发并售卖出网银木马,还有一些其他的因素促使Lordfenix能够如此快的“致富”:

1、巴西有巨大的网上银行用户,仅在2013年,就有高达约51%的银行交易通过网上银行完成的。
2、巴西对网络犯罪的打击力度并不大,法律仍然不够健全

*消息来源:trendmicro,有删节,hujias翻译,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦