IBM Trusteer的研究者近期發(fā)現(xiàn)一個針對金融網(wǎng)站的強(qiáng)大盜號工具KL-Remote，攻擊者可通過該工具幕后操縱受害者的計算機(jī)，甚至繞過雙因素認(rèn)證。

半自動化盜號工具

KL-Remote在巴西的一個地下黑市被發(fā)現(xiàn)。和其他惡意程序不一樣，KL-Remote屬于半自動化盜號工具，需要人工操縱。攻擊者需要依賴其他惡意軟件或木馬在受害者設(shè)備上安裝該工具，然后才能執(zhí)行和操縱進(jìn)一步的攻擊行為。

深度潛伏于用戶計算機(jī)

KL-Remote存儲了一系列網(wǎng)銀和金融網(wǎng)站地址，一旦KL-Remote在受害者機(jī)器上安裝成功，KL-Remote會立即開始監(jiān)視用戶的一切網(wǎng)絡(luò)活動，伺機(jī)等待用戶進(jìn)入列表中的網(wǎng)銀或金融機(jī)構(gòu)網(wǎng)站。受害者上鉤后，該工具會第一時間通知其幕后操縱者并發(fā)回受害者的計算機(jī)信息，包括操作系統(tǒng)、IP地址、處理器、網(wǎng)速等。

注重用戶體驗，小白也能輕松上手

KL-Remote十分注重用戶體驗，擁有挺不錯的GUI產(chǎn)品界面。在KL-Remote的幫助下，一個不太懂計算機(jī)的人也可以“做黑客”了。另外該工具中還嵌入了其他一些惡意程序，這樣大大提高了其攻擊能力。

KL-Remote有一個非常人性化的網(wǎng)銀欺詐控制臺，攻擊者利用它竊取用戶的賬號密碼。

如上圖，該工具非常細(xì)致的對“個人網(wǎng)銀”和“企業(yè)網(wǎng)銀”做了功能區(qū)分，攻擊者可利用它實現(xiàn)遠(yuǎn)程控制受害者的鍵盤、鼠標(biāo)，還可向受害者發(fā)送信息，指導(dǎo)他乖乖交出賬號密碼……

可繞過雙因素認(rèn)證

KL-Remote的強(qiáng)大之處在于它可以繞過所有傳統(tǒng)的反欺詐機(jī)制，包括雙因素認(rèn)證機(jī)制。其攻擊計劃設(shè)計的很周密，以至于受害者完全察覺不到任何的蛛絲馬跡。

比如KL-Remote會在用戶正常訪問網(wǎng)銀時彈出一個對話框，提示讓用戶插入USB-Key(比如國內(nèi)網(wǎng)銀的U盾)并輸入密碼，進(jìn)而獲得用戶的登錄憑證。不僅如此，為了防止用戶發(fā)現(xiàn)蹊蹺，KL-Remote通過放置屏幕截圖的方式隱藏自己的行為。

安全建議

面對KL-Remote這類狡猾的惡意軟件，我們要注意安裝殺毒軟件，留意安全軟件的報警，以及訪問網(wǎng)銀網(wǎng)站時的細(xì)微異常。

參考來源：securityaffairs