在Ramnit金融恶意软件的新变种正在使用本地Web浏览器注射以窃取登录蒸汽帐户的凭据,据来自安全公司的研究人员的Trusteer。
Ramnit是计算机蠕虫在2010年首次发现,通过感染可执行,HTML和Microsoft Office文件在本地计算机上的利差。
恶意软件可以盗取浏览器cookies和FTP(文件传输协议)证书存储在本地,但也挂钩浏览器进程,以便修改Web表单,并注入恶意代码到网页中,被称为人在该浏览器的技术(MITB)攻击。
该MITB功能是常用的金融恶意软件网上银行欺骗用户暴露自己的个人信息和财务信息,以及他们的网上银行凭证。
从的Trusteer,一个公司,在过程安全研究由IBM被收购,最近发现的一个新的变种Ramnit蒸汽的目标用户,对于电脑游戏的最大的数字发行和网上多人游戏平台之一。
该Ramnit攻击规避用于登录表单域的客户端加密,并且可以打败可能在服务器上运行攻击检测系统,根据Etay帽儿,在欺诈的Trusteer防经理。
网络犯罪分子通过使用按键记录恶意软件和钓鱼攻击前有针对性的蒸汽帐户。然而,Ramnit使用如Web注射更先进的技术来窃取登录凭据在用户登录时到从被感染的计算机中的Steam社区网站。
根据帽儿,当用户访问Steam社区登录页面,输入自己的用户名和密码,表单使用本网站的公共密钥加密。为了克服这个问题,Ramnit修改的方式,使得它能够捕获密码为明文形式。
用户不能告诉任何事情是错误的,因为没有在登录页面的变化。
不同于改变屏幕的用户熟悉HTML注射,这种注射保持画面是,帽儿周一在电子邮件中说。然而,在背景中,加密的“密码”域被替换为未加密的场。
当形式的用户填写并提交,恶意软件拦截该请求,读取从非加密的字段中的数据,并发送该请求到蒸汽Web服务器之前删除该字段。根据帽儿,这样可以隐藏,为了检测恶意软件扫描打针不寻常的表单元素的安全软件的攻击。
例如,如果提交的登录由银行恶意软件改变形式包含信用卡号码字段不应该有摆在首位,这可能表明服务器运营商,用户是MITB攻击的受害者。然而,在这个蒸汽攻击,Ramnit确保服务器永远不会看到注入的领域。
恶意软件可以使用键盘记录,而不是HTML注射窃取数据,但它会采取恶意操作者大量的时间来分离从键盘记录文件一切实际的凭据,帽儿说。“文件本身不容易与,而不是说给你一个结构化格式的数据元素形式的工作。它只是节省了时间和精力的事情。”
在过去,Ramnit也主要是针对银行,但研究人员的Trusteer已经看到它被用于非银行机构,组织和服务的目标客户,帽儿说。“这一切都取决于操作者想要达到的目标是什么,它是一个复杂的工具,可用于多种目标不管他们的方向。”