近日，卡巴斯基實驗室的安全研究人員發(fā)現(xiàn)一款SpyEye惡意軟件的新變種。它能夠通過劫持計算機的攝像頭和麥克風，幫助網(wǎng)絡黑客監(jiān)控網(wǎng)銀用戶，從而施展網(wǎng)絡詐騙。

據(jù)了解，SpyEye是一種專門攻擊在線銀行用戶的木馬程序。同Zeus木馬一樣，其最初的編寫者已經(jīng)停止進行開發(fā)。但是這卻絲毫不妨礙其他網(wǎng)絡罪犯繼續(xù)在各種網(wǎng)絡攻擊中廣泛使用這一惡意軟件。SpyEye采用了基于插件的架構，這使得第三方惡意軟件開發(fā)者可以擴展其功能?？ò退够鶎嶒炇业膼阂廛浖治鰩烡mitry Tarakanov最新發(fā)現(xiàn)的SpyEye變種具有劫持攝像頭和麥克風的功能。而這一功能是通過一個flashcamcontrol.dll插件實現(xiàn)的。

正如該插件的DLL名稱所示，這款新變種能夠通過Flash Player訪問計算機的上述兩個外圍設備。在正常情況下，用戶需要手動設置Flash播放器，選擇允許網(wǎng)站控制計算機的攝像頭和麥克風。但是，SpyEye的插件會直接修改Flash Player設置文件，偷偷將一些在線銀行網(wǎng)站設為白名單，默認允許這些網(wǎng)站使用上述設備。如下圖所示：

最初，卡巴斯基實驗室的研究人員推測這種功能可能是面部識別系統(tǒng)的一部分，因為有些銀行會采用這種安全驗證措施。雖然這種驗證手段的使用并不廣泛，但經(jīng)過聯(lián)系相關銀行，我們獲悉這些銀行并沒有在其網(wǎng)站上采用任何涉及攝像頭的相關功能。卡巴斯基實驗室研究人員在分析另一個SpyEye組件時發(fā)現(xiàn)當受感染計算機訪問一些在線銀行網(wǎng)站時，該惡意軟件能夠將具有劫持攝像頭和麥克風功能的Flash內容注入到受攻擊的在線銀行網(wǎng)站，并可以在網(wǎng)頁中顯示假冒的相關提示信息，欺騙用戶。

網(wǎng)絡罪犯為什么要監(jiān)控受害用戶呢？有些銀行在進行在線交易時，需要用戶驗證身份，例如輸入銀行發(fā)送給用戶手機上的驗證碼或便攜式電子口令驗證碼。網(wǎng)絡罪犯需要這些驗證碼，才能夠竊取用戶銀行賬戶中的錢財。所以，網(wǎng)絡罪犯經(jīng)常使用社交技巧試圖讓用戶泄漏這些信息。而有時候，銀行會打電話給客戶確認交易的真實性。所以，監(jiān)控攝像頭和麥克風，對其實施網(wǎng)絡犯罪非常有用。

在與銀行工作人員的通話過程中，客戶會透露更多關于自身賬戶的敏感信息，以驗證自己的身份。這些信息可能包括客戶母親的名字、自己的生日、信用卡號以及社保號等，這些信息都可以用來進行電話銀行操作。通過麥克風，網(wǎng)絡罪犯可以監(jiān)聽用戶的通話，之后可以假冒客戶撥打銀行電話。利用偷聽到的信息，網(wǎng)絡罪犯可以更改銀行賬戶登錄信息，完全控制受害用戶的賬號。另一方面，通過劫持攝像頭，網(wǎng)絡罪犯可以監(jiān)控受害用戶在訪問被惡意軟件篡改過的在線銀行網(wǎng)址時的反應。因為網(wǎng)絡罪犯并不能保證其詐騙手段100%管用，通過監(jiān)控用戶，他們可以改進和修改作案手段，提高攻擊的成功率。這表明，網(wǎng)絡罪犯現(xiàn)在不僅可以盜取受害用戶的錢財，甚至還能夠觀察受害者的一舉一動。這種網(wǎng)絡犯罪手段工作流程如下圖所示：

為了避免遭受此類攻擊而造成損失，卡巴斯基的安全專家建議：用戶可以在不使用攝像頭時將其遮蔽住。但是對于麥克風，則有點棘手。用戶可以通過操作系統(tǒng)設置來禁用攝像頭和麥克風設備。需要使用這些設備時，再手動開啟。但是，對于經(jīng)常使用這些設備的用戶，則有些不便。更為有效的預防手段，是養(yǎng)成良好的計算機使用習慣，定期更新計算機軟件，并安裝反病毒軟件。不要輕易點擊安全性不確定的鏈接，不要安裝來源不明的程序。