一名年仅20岁的大学生,开发的每一个网银木马在黑市的售卖价均超过300美刀,2年时间谋取了大量不义之财。听起来不可思议?他就是巴西最大的恶意软件制造者——Lordfenix。
年仅20岁的木马开发者
Lordfenix是一名巴西的计算机系学生,今年20岁。我们最早发现他的恶意活动是在2013年4月。当时他正在在论坛发帖寻求其他程序员共同开发网银木马。
下面是他2013年9月在Facebook上发的炫富图,卖木马真心赚了不少
木马分析
asTSPY_BANKER.NJH是Lordfenix制作的网银木马之一。当用户打开任意银行的url,木马会根据url进行锁定,锁定目标包括Banco de银行,Caixa银行,和巴西汇丰银行。
如果用户使用的是Google Chrome浏览器,网银木马会立即关闭当前浏览器窗口并显示一个错误信息,然后重新打开一个伪造的——整个切换过程非常迅速以至于用户根本不会察觉,所以整个程序运行过程可以忽略不计。如果用户的浏览器是IE或FireFox,原窗口会保持开启,但依然会出现错误信息并弹出伪造窗口。
伪造浏览器窗口
伪造的HSBC网银
伪造的Banco de网银
当用户在伪造网银的“钓鱼”页面中下面输入用户名密码,这些信息将通过邮件的方式发送给攻击者。
为了绕过杀毒软件的查杀,网银木马会自动终止GbpSV.exe进程。GbpSV.exe是浏览器安全软件G-Buster的相关进程,许多巴西银行使用这个安全程序保护用户的交易安全。
免费版
Lordfenix对自己的能力非常自信,我们发现他为其地下论坛的成员免费提供全功能的网银木马源代码。Lordfenix声称他的开源木马可以窃取4家银行的用户信息。但是如果想要“搞定”
其他银行就得收费了。
Lordfenix论坛中发布的免费网银木马源代码
Lordfenix还通过聊天工具Skype上的个人签名售卖网银木马。
Lordfenix何能快速“致富”
根据趋势科技的调查数据,自2013年4月以来,Lordfenix开发了超过100种网银木马,这其中还不包括他开发的其他恶意工具。每个网银木马均价值为1000雷亚尔(约320美元),这使得他在短时间内获得了巨额财富。
除了开发并售卖出网银木马,还有一些其他的因素促使Lordfenix能够如此快的“致富”:
1、巴西有巨大的网上银行用户,仅在2013年,就有高达约51%的银行交易通过网上银行完成的。
2、巴西对网络犯罪的打击力度并不大,法律仍然不够健全
