前言:一名年仅20岁的大学生,开发的每一个网银木马在黑市的售卖价均超过300美刀,2年时间谋取了大量不义之财。听起来不可思议?他就是巴西最大的恶意软件制造者——Lordfenix。
Lordfenix是谁?
Lordfenix是一个来自巴西Tocantins的计算机系的学生,今年20岁。我们能够发现他的活动要追溯到2013年4月。当时,他在论坛上发帖,寻求其他程序员帮助他共同制造网银木马。
图1所示。Lordfenix的论坛帖子,then Filho de Hakcer
基于他在Facebook上2013年9月发布照片,这充分表明他在他的作品中是非常成功的。
图2。Lordfenix在Facebook发帖子炫耀他的木马编写成功并且已经带来了收益
通过伪造的浏览器窃取用户信息
Lordfenix此后继续开发并且公开售卖网银木马,我们发现并检测的asTSPY_BANKER.NJH就是他制作的网银木马之一。当用户打开任意银行的url,该木马可以对url进行目标锁定,这些目标银行包括,Banco de Brasil,Caixa银行,和巴西 HSBC(汇丰银行)。
这种网银木马在锁定目标后可以直接关闭运行在Google Chrome浏览器的窗口,显示一个错误信息,然后重新打开一个伪造的Chrome窗口。由于浏览器的窗口是基本无缝切换,所以整个程序运行过程可以忽略不计。如果用户使用的是IE或者Firefox浏览器,原始的窗口仍然是打开的,但是仍然会显示错误信息,并且弹出伪造的浏览器窗口。
图3。伪造的浏览器窗口
图4。伪造巴西汇丰银行网站
图5。伪造Banco de Brasil银行网站
Lordfenix
如果用户在伪造的浏览器下面输入他的登录凭证,该木马将通过电邮的方式将用户信息发送给攻击者----在Filho de Hakcer的日志里
Lordfenix使用同一个电子邮件。
为了绕过杀毒软件的查杀,该网银木马会自动终止GbpSV.exe进程。GbpSV.exe进程是一个与G-Buster浏览器防御系统相关联的。许多巴西银行使用这个安全程序用来抵御信息窃取,保护用户的隐私,以及在线交易期间的财产安全。
免费的网络犯罪
Lordfenix对自己的能力非常有信心,我们发现他为其地下论坛的成员免费提供全功能的银行木马源代码。Lordfenix表示他这种开源的网银木马可以窃取4家银行的用户信息。但是这种免费有一定的限制,如果有成员想要窃取其他银行的更多信息,他们将会联系Lordfenix,Lordfenix将会把TSPY_BANKER.NJH卖给他们,事实上TSPY_BANKER.NJH是我们之前发现并检测的木马。
图6。论坛发布的免费网银木马源代码
我们也发现Lordfenix也通过在Skype的个人资料传播他的网银木马信息。在吉隆坡这种网银木马被称为键盘记录器----一种具有键盘记录功能的恶意软件。
图7。Lordfenix在Skype的个人说明
计算机罪犯中的暴发户
根据我们的调查研究发现,自2013年4月以来Lordfenix制造了超过100种的网银的木马,这其中还不包括他制造的其他恶意工具。每一个网银木马均价值1000雷亚尔(约320美元),这个年轻的计算机罪犯,正在利用他在编程方面的天赋谋取不正当的利益。
除了可以开发出这种强大的网银木马,还有一些其他的因素,促使Lordfenix创建自己的利益链:
就目前情况来看巴西有一个巨大的网上银行用户基础,尽在2013年,大约51%的国内银行交易都是通过网络完成的。
抓取计算机犯罪的罪犯不是巴西现在的首要任务,由于现在的法律仍然不够健全,最犯罪的惩罚力度仍热非常低。
尽管孤军奋战,并且年仅20岁,Lordfenix很努力的设法提高在黑色产业中的知名度。他的故事----年轻的计算机罪犯造成很大的危害----与中国小孩开发的移动端勒索软件所造成的影响力是不尽相同的。他不是我们这个季度注意到的唯一一个独自行动的黑客。
像Frapstar(加拿大)和网络犯罪背后FighterPOS(巴西)和鹰眼(尼日利亚)所有的独自行动的黑客均使用基本的恶意软件来谋取利益。
在网络犯罪中,无论是新手还是老手。造成的结果都是相同的:普通用户会成为受害者。