一名年僅20歲的大學(xué)生，開發(fā)的每一個(gè)網(wǎng)銀木馬在黑市的售賣價(jià)均超過300美刀，2年時(shí)間謀取了大量不義之財(cái)。聽起來不可思議?他就是巴西最大的惡意軟件制造者——Lordfenix。

年僅20歲的木馬開發(fā)者

Lordfenix是一名巴西的計(jì)算機(jī)系學(xué)生，今年20歲。我們最早發(fā)現(xiàn)他的惡意活動是在2013年4月。當(dāng)時(shí)他正在在論壇發(fā)帖尋求其他程序員共同開發(fā)網(wǎng)銀木馬。

下面是他2013年9月在Facebook上發(fā)的炫富圖，賣木馬真心賺了不少

[[138743]]

木馬分析

asTSPY_BANKER.NJH是Lordfenix制作的網(wǎng)銀木馬之一。當(dāng)用戶打開任意銀行的url，木馬會根據(jù)url進(jìn)行鎖定，鎖定目標(biāo)包括Banco de銀行，Caixa銀行，和巴西匯豐銀行。

如果用戶使用的是Google Chrome瀏覽器，網(wǎng)銀木馬會立即關(guān)閉當(dāng)前瀏覽器窗口并顯示一個(gè)錯誤信息，然后重新打開一個(gè)偽造的——整個(gè)切換過程非常迅速以至于用戶根本不會察覺，所以整個(gè)程序運(yùn)行過程可以忽略不計(jì)。如果用戶的瀏覽器是IE或FireFox，原窗口會保持開啟，但依然會出現(xiàn)錯誤信息并彈出偽造窗口。

偽造瀏覽器窗口

偽造的HSBC網(wǎng)銀

偽造的Banco de網(wǎng)銀

當(dāng)用戶在偽造網(wǎng)銀的“釣魚”頁面中下面輸入用戶名密碼，這些信息將通過郵件的方式發(fā)送給攻擊者。

為了繞過殺毒軟件的查殺，網(wǎng)銀木馬會自動終止GbpSV.exe進(jìn)程。GbpSV.exe是瀏覽器安全軟件G-Buster的相關(guān)進(jìn)程，許多巴西銀行使用這個(gè)安全程序保護(hù)用戶的交易安全。

免費(fèi)版

Lordfenix對自己的能力非常自信，我們發(fā)現(xiàn)他為其地下論壇的成員免費(fèi)提供全功能的網(wǎng)銀木馬源代碼。Lordfenix聲稱他的開源木馬可以竊取4家銀行的用戶信息。但是如果想要“搞定”

其他銀行就得收費(fèi)了。

Lordfenix論壇中發(fā)布的免費(fèi)網(wǎng)銀木馬源代碼

Lordfenix還通過聊天工具Skype上的個(gè)人簽名售賣網(wǎng)銀木馬。

Lordfenix何能快速“致富”

根據(jù)趨勢科技的調(diào)查數(shù)據(jù)，自2013年4月以來，Lordfenix開發(fā)了超過100種網(wǎng)銀木馬，這其中還不包括他開發(fā)的其他惡意工具。每個(gè)網(wǎng)銀木馬均價(jià)值為1000雷亞爾(約320美元)，這使得他在短時(shí)間內(nèi)獲得了巨額財(cái)富。

除了開發(fā)并售賣出網(wǎng)銀木馬，還有一些其他的因素促使Lordfenix能夠如此快的“致富”：

1、巴西有巨大的網(wǎng)上銀行用戶，僅在2013年，就有高達(dá)約51%的銀行交易通過網(wǎng)上銀行完成的。

2、巴西對網(wǎng)絡(luò)犯罪的打擊力度并不大，法律仍然不夠健全