浏览器也会盗号：邪恶的“山寨”浏览器正在巴西流行

IBM Trusteer的威胁与情报小组最近发现一款“山寨”浏览器，黑客可以利用这种精心制作的恶意浏览器窃取用户网银信息，这种犯罪手段正在巴西日益流行。

深入探究恶意浏览器

安全研究人员得到了这种一款被广泛使用的假浏览器的Delphi源代码。这款恶意浏览器会仿冒正规的浏览器，从而窃取受害者们的银行账户密码。这种犯罪方法现在已经在拉丁美洲尤其是巴西流行起来。

下图显示，这款假冒浏览器在巴西地下黑市卖到了700巴西里尔(约合人民币1700元)。

有人在地下论坛出售这款浏览器

感染过程

大部分受害者都是因打开一封邮件或者点击了恶意链接而感染木马的。木马其实是一个小型的“下载器”，它会运行用于安装恶意浏览器的payload（攻击负载）。

当用户访问指定的银行网站时，木马就会立即启动山寨版浏览器。而浏览器这时也会弹出窗口，要求用户输入银行的登录信息。此时用户不能够进行任何其他操作，用户不能最小化、最大化、移动或者关闭浏览器的窗口。

用户输入的登录信息会把发送至攻击者的C&C（命令与控制）服务器或是预设的邮箱。这些登录信息会被用来对受害者的账号进行操作。

Delphi语言被广泛应用于巴西国内恶意软件的开发

具体细节

这款恶意浏览器的源代码是可定制的，它提供如下设置：

Payload写入硬盘时的文件名；
用于接收用户电脑信息的邮箱账号；
用于接收用户银行登录信息的邮箱账号；
特定目标网站的网页标题字串

文件名、邮箱、网页标题等变量

由于程序源代码在巴西的地下论坛唾手可得，网络罪犯们可以自己轻易地定制出软件。

下图展示的是恶意浏览器的源码和其执行攻击的过程：

检查银行网站

首先，恶意软件会通过GetForegroundWindow函数获取窗口的句柄，然后通过GetWindowText获取窗口标题。最后，恶意软件使用comp函数，把获取的标题与列表中的目标站点进行比对。如果函数得到的结果不为0，就对受害者进行欺骗。

当然有些银行现在已经采用一些安全保护措施，比如会使用随机字符对标题进行混淆，如下图所示：

某些银行采用的保护措施

强大的自我伪装和欺骗能力

因为界面和正常浏览器稍有不同，警觉的用户有可能会发现恶意浏览器的存在。不过即使人们发现了也什么都做不了，正如上文说的，此时的你无法移动、关闭窗口……

山寨浏览器的界面

值得一提的是，恶意浏览器的作者还做了个假的“安全提示”——这个小锁图标是在提示用户“此网站正在使用SSL证书”。

伪造的绿色小锁

安全研究人员还注意到，这款恶意软件还会要求多次认证：用户输入的用户名密码可能会出现“错误”，软件通过这样的方法使得攻击变得更加可信。

恶意浏览器还会验证用户的“税号”(Cadastro de Pessoas Físicas,CPF)，这是在巴西被用来识别身份的一串独一无二的号码。如果CPF验证失败，软件会弹出一个消息窗口提示受害者CPF号码错误。而验证成功后，用户的CPF信息会被发送至指定邮箱帐号。

浏览器会认证CPF号码

为了保证能够成功盗号，恶意浏览器还会让用户提供银行用来认证的其他的信息。

恶意浏览器会让用户提供双重认证的信息，例如：

用户借记卡上的三个数字；
自动服务的密码；
邮件或短信或ATM收据上的临时密码。

相对传统的盗号方法，南美洲出现的这种恶意浏览器似乎成为了网络欺诈的新方法。FreeBuf相信这种恶意软件在不久后肯定会传到国内，所以童鞋们上网时还得多留个心了。

 参考来源SecurityIntelligence，译/Sphinx