URSNIF银行木马出现新变种利用验证码欺诈攻击

据外媒报道，URSNIF网银木马出现一个新变种，对粗心大意的受害者基于无害验证码的欺诈攻击，以窃取敏感信息。

据悉，URSNIF网银木马也被称为Gozi，又被称为ISFB，是臭名昭著且迄今为止发现存活时间最长的银行木马之一。

根据安全研究团队MalwareHunterTeam对于这款变种木马的曝光材料显示，该变种木马的运行需要一定的触发条件。

简单来说，受害者进入黑客精心制作的页面上观看嵌入页面的油管视频时，页面会要求用户下载一个视频播放文件。

该恶意软件名为console-play.exe， 是一个可执行文件，但一般浏览器会向用户发出潜在恶意软件威胁的警告信息。

一般情况下，受害者在看到威胁警告的情况下，如果停止下载或执行这款软件的话倒也不至于被不法分子窃取信息。

恶意文件被执行后，便会在系统目录的AppData文件下Roaming路径中，创建名为Bouncy for .NET Helper的文件夹。

接下来，恶意软件会释放出BouncyDotNet.exe主程序，创建有助于URSNIF网银木马传播的感染性动态链接库文件。

当然，为了混淆视听，BouncyDotNet.exe还携带了大量的诱饵文件，之后便可轻松静默窃取与凭证相关的敏感信息。

需要注意的是，黑客会在精心制作的页面上显示一个虚假的reCAPTCHA验证界面，从而筛选访客是真人还是机器人。

该页面会要求用户依次按下B、S、Tab、A、F及回车键，这看起来没有什么卵用的操作其实隐藏着不可告人的秘密。

当用户在页面上按下Tab和回车键的时候，就会在不知不觉中保留URSNIF网银木马，而且视频播放并会不受到影响。

如上所述，木马被激活会释放主程序和诱饵文件，用户就成了砧板上的肉任人宰割，显然受害者此时用仍毫无察觉。

综合上述笔者的分析，相信大家都看明白了，这款变种银行木马在受害者电脑运行然后窃取用户信息非常的不容易。

首先需要受害者进入一个内嵌油管视频的网站页面，然后，还要根据网页弹出的虚假验证界面按下指定的几个按键。

当浏览器提示用户正在下载恶意文件时要忽略警告，之后还要运行恶意文件，忽略任意一步恶意木马都会功亏一篑。

由此可见这些受害者不仅眼神不济而且还心大，据Avast今年三月份的数据，该木马已导致意大利一百多家银行中招。