SpyEye新變種可通過(guò)攝像頭和麥克風(fēng)監(jiān)控用戶
近日,卡巴斯基實(shí)驗(yàn)室的安全研究人員發(fā)現(xiàn)一款SpyEye惡意軟件的新變種。它能夠通過(guò)劫持計(jì)算機(jī)的攝像頭和麥克風(fēng),幫助網(wǎng)絡(luò)黑客監(jiān)控網(wǎng)銀用戶,從而施展網(wǎng)絡(luò)詐騙。
據(jù)了解,SpyEye是一種專(zhuān)門(mén)攻擊在線銀行用戶的木馬程序。同Zeus木馬一樣,其最初的編寫(xiě)者已經(jīng)停止進(jìn)行開(kāi)發(fā)。但是這卻絲毫不妨礙其他網(wǎng)絡(luò)罪犯繼續(xù)在各種網(wǎng)絡(luò)攻擊中廣泛使用這一惡意軟件。SpyEye采用了基于插件的架構(gòu),這使得第三方惡意軟件開(kāi)發(fā)者可以擴(kuò)展其功能。卡巴斯基實(shí)驗(yàn)室的惡意軟件分析師Dmitry Tarakanov最新發(fā)現(xiàn)的SpyEye變種具有劫持?jǐn)z像頭和麥克風(fēng)的功能。而這一功能是通過(guò)一個(gè)flashcamcontrol.dll插件實(shí)現(xiàn)的。
正如該插件的DLL名稱所示,這款新變種能夠通過(guò)Flash Player訪問(wèn)計(jì)算機(jī)的上述兩個(gè)外圍設(shè)備。在正常情況下,用戶需要手動(dòng)設(shè)置Flash播放器,選擇允許網(wǎng)站控制計(jì)算機(jī)的攝像頭和麥克風(fēng)。但是,SpyEye的插件會(huì)直接修改Flash Player設(shè)置文件,偷偷將一些在線銀行網(wǎng)站設(shè)為白名單,默認(rèn)允許這些網(wǎng)站使用上述設(shè)備。如下圖所示:
最初,卡巴斯基實(shí)驗(yàn)室的研究人員推測(cè)這種功能可能是面部識(shí)別系統(tǒng)的一部分,因?yàn)橛行┿y行會(huì)采用這種安全驗(yàn)證措施。雖然這種驗(yàn)證手段的使用并不廣泛,但經(jīng)過(guò)聯(lián)系相關(guān)銀行,我們獲悉這些銀行并沒(méi)有在其網(wǎng)站上采用任何涉及攝像頭的相關(guān)功能。卡巴斯基實(shí)驗(yàn)室研究人員在分析另一個(gè)SpyEye組件時(shí)發(fā)現(xiàn)當(dāng)受感染計(jì)算機(jī)訪問(wèn)一些在線銀行網(wǎng)站時(shí),該惡意軟件能夠?qū)⒕哂薪俪謹(jǐn)z像頭和麥克風(fēng)功能的Flash內(nèi)容注入到受攻擊的在線銀行網(wǎng)站,并可以在網(wǎng)頁(yè)中顯示假冒的相關(guān)提示信息,欺騙用戶。
網(wǎng)絡(luò)罪犯為什么要監(jiān)控受害用戶呢?有些銀行在進(jìn)行在線交易時(shí),需要用戶驗(yàn)證身份,例如輸入銀行發(fā)送給用戶手機(jī)上的驗(yàn)證碼或便攜式電子口令驗(yàn)證碼。網(wǎng)絡(luò)罪犯需要這些驗(yàn)證碼,才能夠竊取用戶銀行賬戶中的錢(qián)財(cái)。所以,網(wǎng)絡(luò)罪犯經(jīng)常使用社交技巧試圖讓用戶泄漏這些信息。而有時(shí)候,銀行會(huì)打電話給客戶確認(rèn)交易的真實(shí)性。所以,監(jiān)控?cái)z像頭和麥克風(fēng),對(duì)其實(shí)施網(wǎng)絡(luò)犯罪非常有用。
在與銀行工作人員的通話過(guò)程中,客戶會(huì)透露更多關(guān)于自身賬戶的敏感信息,以驗(yàn)證自己的身份。這些信息可能包括客戶母親的名字、自己的生日、信用卡號(hào)以及社保號(hào)等,這些信息都可以用來(lái)進(jìn)行電話銀行操作。通過(guò)麥克風(fēng),網(wǎng)絡(luò)罪犯可以監(jiān)聽(tīng)用戶的通話,之后可以假冒客戶撥打銀行電話。利用偷聽(tīng)到的信息,網(wǎng)絡(luò)罪犯可以更改銀行賬戶登錄信息,完全控制受害用戶的賬號(hào)。另一方面,通過(guò)劫持?jǐn)z像頭,網(wǎng)絡(luò)罪犯可以監(jiān)控受害用戶在訪問(wèn)被惡意軟件篡改過(guò)的在線銀行網(wǎng)址時(shí)的反應(yīng)。因?yàn)榫W(wǎng)絡(luò)罪犯并不能保證其詐騙手段100%管用,通過(guò)監(jiān)控用戶,他們可以改進(jìn)和修改作案手段,提高攻擊的成功率。這表明,網(wǎng)絡(luò)罪犯現(xiàn)在不僅可以盜取受害用戶的錢(qián)財(cái),甚至還能夠觀察受害者的一舉一動(dòng)。這種網(wǎng)絡(luò)犯罪手段工作流程如下圖所示:
為了避免遭受此類(lèi)攻擊而造成損失,卡巴斯基的安全專(zhuān)家建議:用戶可以在不使用攝像頭時(shí)將其遮蔽住。但是對(duì)于麥克風(fēng),則有點(diǎn)棘手。用戶可以通過(guò)操作系統(tǒng)設(shè)置來(lái)禁用攝像頭和麥克風(fēng)設(shè)備。需要使用這些設(shè)備時(shí),再手動(dòng)開(kāi)啟。但是,對(duì)于經(jīng)常使用這些設(shè)備的用戶,則有些不便。更為有效的預(yù)防手段,是養(yǎng)成良好的計(jì)算機(jī)使用習(xí)慣,定期更新計(jì)算機(jī)軟件,并安裝反病毒軟件。不要輕易點(diǎn)擊安全性不確定的鏈接,不要安裝來(lái)源不明的程序。
