恶意网站截图
恶意网站会显示一个虚假的 reCAPTCHA 验证界面,以证明访客是真人而不是机器人。
同时由于这个“播放控制台”是一个可执行文件,浏览器会向用户发出潜在的恶意软件威胁警告。即便如此,毫无戒心的用户还是很容易上钩。
虚假的 reCAPTCHA 人机验证界面
如上图所示,该网站会要求用户依次按下 B、S、Tab、A、F、以及回车键。对于熟悉快捷键操作的熟练计算机用户来说,明显知道 BSAF 这几个字母其实都是幌子。
因为在当前界面下,一旦你按下了 Tab 和回车键,就有可能在不知不觉中将 Ursnif 木马程序给保留下来。此时网页视频也会继续播放,因此具有相当大的迷惑性。
.NET Helper 文件夹中的内容
如果下载运行了 console-play.exe,就会在系统 AppData 下的 Roaming 路径,创建一个名为“Bouncy for .NET Helper”的文件夹。
为了混淆视听,恶意软件制作者还特意在“BouncyDotNet.exe”主程序之外,夹杂了大量的诱饵文件。
注册表详情
据悉,BouncyDotNet.exe 会创建有助于 Ursnif 网银木马传播的感染性动态链接库(DLL)文件,以进一步窃取与凭证相关的敏感信息。
但这其实并不是本年度的第一波 Ursnif 恶意软件攻击,因为 Avast 早在 3 月份就指出,这款网银木马已经导致意大利 100 多家银行躺枪。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/95727.html