SpyEye变种通过摄像头和麦克风监控用户

近日,卡巴斯基实验室的安全研究人员发现一款SpyEye恶意软件的新变种。它能够通过劫持计算机的摄像头和麦克风,帮助网络黑客监控网银用户,从而施展网络诈骗。

据了解,SpyEye是一种专门攻击在线银行用户的木马程序。同Zeus木马一样,其最初的编写者已经停止进行开发。但是这却丝毫不妨碍其他网络罪犯继续在各种网络攻击中广泛使用这一恶意软件。SpyEye采用了基于插件的架构,这使得第三方恶意软件开发者可以扩展其功能。卡巴斯基实验室的恶意软件分析师Dmitry Tarakanov最新发现的SpyEye变种具有劫持摄像头和麦克风的功能。而这一功能是通过一个flashcamcontrol.dll插件实现的。

正如该插件的DLL名称所示,这款新变种能够通过Flash Player访问计算机的上述两个外围设备。在正常情况下,用户需要手动设置Flash播放器,选择允许网站控制计算机的摄像头和麦克风。但是,SpyEye的插件会直接修改Flash Player设置文件,偷偷将一些在线银行网站设为白名单,默认允许这些网站使用上述设备。如下图所示:

 

最初,卡巴斯基实验室的研究人员推测这种功能可能是面部识别系统的一部分,因为有些银行会采用这种安全验证措施。虽然这种验证手段的使用并不广泛,但经过联系相关银行,我们获悉这些银行并没有在其网站上采用任何涉及摄像头的相关功能。卡巴斯基实验室研究人员在分析另一个SpyEye组件时发现当受感染计算机访问一些在线银行网站时,该恶意软件能够将具有劫持摄像头和麦克风功能的Flash内容注入到受攻击的在线银行网站,并可以在网页中显示假冒的相关提示信息,欺骗用户。

网络罪犯为什么要监控受害用户呢?有些银行在进行在线交易时,需要用户验证身份,例如输入银行发送给用户手机上的验证码或便携式电子口令验证码。网络罪犯需要这些验证码,才能够窃取用户银行账户中的钱财。所以,网络罪犯经常使用社交技巧试图让用户泄漏这些信息。而有时候,银行会打电话给客户确认交易的真实性。所以,监控摄像头和麦克风,对其实施网络犯罪非常有用。

在与银行工作人员的通话过程中,客户会透露更多关于自身账户的敏感信息,以验证自己的身份。这些信息可能包括客户母亲的名字、自己的生日、信用卡号以及社保号等,这些信息都可以用来进行电话银行操作。通过麦克风,网络罪犯可以监听用户的通话,之后可以假冒客户拨打银行电话。利用偷听到的信息,网络罪犯可以更改银行账户登录信息,完全控制受害用户的账号。另一方面,通过劫持摄像头,网络罪犯可以监控受害用户在访问被恶意软件篡改过的在线银行网址时的反应。因为网络罪犯并不能保证其诈骗手段100%管用,通过监控用户,他们可以改进和修改作案手段,提高攻击的成功率。这表明,网络罪犯现在不仅可以盗取受害用户的钱财,甚至还能够观察受害者的一举一动。这种网络犯罪手段工作流程如下图所示:

 

为了避免遭受此类攻击而造成损失,卡巴斯基的安全专家建议:用户可以在不使用摄像头时将其遮蔽住。但是对于麦克风,则有点棘手。用户可以通过操作系统设置来禁用摄像头和麦克风设备。需要使用这些设备时,再手动开启。但是,对于经常使用这些设备的用户,则有些不便。更为有效的预防手段,是养成良好的计算机使用习惯,定期更新计算机软件,并安装反病毒软件。不要轻易点击安全性不确定的链接,不要安装来源不明的程序。