卡巴斯基(Kaspersky)的研究人员发现了一种名为 JanelaRAT 的新型恶意软件。该软件通过在合法的金融界面上覆盖伪造的“遮罩层”来拦截银行凭据。它会监控用户的活动,一旦检测到用户打开银行窗口,就会立即弹出欺骗性屏幕,从而窃取密码和身份验证码。
该软件通过模仿真实的银行环境来运作。这使得攻击者能够在用户毫无察觉的情况下,在会话被劫持时窃取敏感数据。
“这个新版本代表了攻击者能力的重大提升,它集成了多种通信渠道、对受害者的全面监控、交互式覆盖层、输入注入以及强大的远程控制功能,”卡巴斯基拉美区安全研究员 Isabel Manjarrez 表示。
Manjarrez 指出,该恶意软件经过专门设计,旨在最大限度地降低其可见性,并能通过调整行为来规避反欺诈软件的检测。
如何识别攻击迹象
用户可以通过观察在线会话过程中的异常情况来识别潜在的攻击。卡巴斯基警告称,页面加载异常缓慢可能是恶意活动的主要迹象之一。
其他预警信号还包括模拟 Windows 更新的窗口或突如其来的弹窗。如果某个网站要求的密码或安全令牌的验证方式偏离了银行的标准流程,用户应保持警惕。
JanelaRAT 旨在操纵用户的感知。它会阻断正常的交互,并等待用户处于最脆弱的时刻,从而发起关键信息的索取。
这种威胁模式与卡巴斯基在 3 月份报告的 Horabot 攻击活动非常相似。在当时的事件中,研究人员发现了一个包含 5,384 名受害者的泄露数据库。
该调查数据显示,其中 93% 的受害者位于墨西哥。Horabot 攻击活动利用伪造的 CAPTCHA(验证码)来诱导用户在计算机上执行恶意指令。
在完成初步感染后,该活动利用伪造的界面模仿已知服务,并采用与 JanelaRAT 相同的欺骗性分层技术来提取银行凭据。