Trend Micro公司的安全研究员发现了一个新的系列恶意软件,叫做Mangit(BKDR_MANGIT.SM)。该软件的源头是巴西地下黑客,在那里有人将其作为“银行木马服务”兜售。

  研究人员说,这个恶意软件最近才出现,而且似乎是巴西北部一个名叫Ric的程序员编写的。

  他没有将这个软件工具的面向范围局限在黑网中,而是将范围扩大,甚至在YouTube这样的公共互联网服务中也可以使用。

使用Mangit整套设备的费用是十天600美金

  Ric提供了两种支付方式可供选择。黑客们可以租借木马的整套设备,租金是十天600美金,或者是直接购买Mangit的源代码,价格大概是8800美金(都是从巴西的实际价格换算过来的)。如果黑客们想要协商其他的租赁方案,他也提供了一个Skype用户名可以联系。

  付款后,买家先接入控制面板,在那里他们可以控制管理自己的Mangit网络、实际木马数、滴管(用来感染用户并下载木马)、自动更新系统和服务器等基础设施。这样他们就可以运行自己的攻击了。

  Trend Micro认为Ric的背后不存在一个更大的犯罪集团。巴西有着世界著名的地下网络犯罪体系,相比于其他的恶意软件,那里的网络黑客们更喜欢针对银行的木马程序。

Mangit只针对九个巴西银行

  Ric的Mangit恶意软件只支持九个巴西银行,分别是花旗银行、BB银行、Sicredi银行、Sicoob银行、 Itau银行、 HSBC银行、 Bradesco银行、 Santander银行和Caixa银行等。此外,Mangit还可以窃取PayPal的用户凭证和各种社交媒体账户。

  Trend Micro分析了这种木马的运行模式,发现其中有很多的RAT(远程访问木马)特性。

  Mangit可以收集银行凭据,但同时也能让黑客们实时与计算机进行交互,看到计算机的客户界面和弹出消息。

Mangit是银行恶意软件和RAT的结合

  每当用户试图访问他的银行账户时,黑客们都能收到手机短息提示,然后就可以接管用户的浏览器了。

  攻击者们会锁定用户的浏览器界面,要求用户等待,在这段时间里,他们就可以访问银行账户并且进行非法交易。如果该用户使用的是双因素身份验证或是交易记录验证码,攻击者就会利用Mangit在浏览器上实时弹出对话框,让用户将刚刚在手机上收到的验证码输入对话框中。

  Trend Micro团队在报告中写道,“这种功能使得攻击者可以控制受害者设备并进行远程交易,这就使得木马检测变得更加困难。如果不深入审查用户系统,就不会发现有人在远程控制交易(一旦认为交易是从用户电脑中完成的,也不会有人怀疑有别人在暗中操作。)”