一名年僅20歲的大學生，開發(fā)的每一個網(wǎng)銀木馬在黑市的售賣價均超過300美刀，2年時間謀取了大量不義之財。聽起來不可思議?他就是巴西最大的惡意軟件制造者——Lordfenix。

年僅20歲的木馬開發(fā)者

Lordfenix是一名巴西的計算機系學生，今年20歲。我們最早發(fā)現(xiàn)他的惡意活動是在2013年4月。當時他正在在論壇發(fā)帖尋求其他程序員共同開發(fā)網(wǎng)銀木馬。

下面是他2013年9月在Facebook上發(fā)的炫富圖，賣木馬真心賺了不少

[[138743]]

木馬分析

asTSPY_BANKER.NJH是Lordfenix制作的網(wǎng)銀木馬之一。當用戶打開任意銀行的url，木馬會根據(jù)url進行鎖定，鎖定目標包括Banco de銀行，Caixa銀行，和巴西匯豐銀行。

如果用戶使用的是Google Chrome瀏覽器，網(wǎng)銀木馬會立即關(guān)閉當前瀏覽器窗口并顯示一個錯誤信息，然后重新打開一個偽造的——整個切換過程非常迅速以至于用戶根本不會察覺，所以整個程序運行過程可以忽略不計。如果用戶的瀏覽器是IE或FireFox，原窗口會保持開啟，但依然會出現(xiàn)錯誤信息并彈出偽造窗口。

偽造瀏覽器窗口

偽造的HSBC網(wǎng)銀

偽造的Banco de網(wǎng)銀

當用戶在偽造網(wǎng)銀的“釣魚”頁面中下面輸入用戶名密碼，這些信息將通過郵件的方式發(fā)送給攻擊者。

為了繞過殺毒軟件的查殺，網(wǎng)銀木馬會自動終止GbpSV.exe進程。GbpSV.exe是瀏覽器安全軟件G-Buster的相關(guān)進程，許多巴西銀行使用這個安全程序保護用戶的交易安全。

免費版

Lordfenix對自己的能力非常自信，我們發(fā)現(xiàn)他為其地下論壇的成員免費提供全功能的網(wǎng)銀木馬源代碼。Lordfenix聲稱他的開源木馬可以竊取4家銀行的用戶信息。但是如果想要“搞定”

其他銀行就得收費了。

Lordfenix論壇中發(fā)布的免費網(wǎng)銀木馬源代碼

Lordfenix還通過聊天工具Skype上的個人簽名售賣網(wǎng)銀木馬。

Lordfenix何能快速“致富”

根據(jù)趨勢科技的調(diào)查數(shù)據(jù)，自2013年4月以來，Lordfenix開發(fā)了超過100種網(wǎng)銀木馬，這其中還不包括他開發(fā)的其他惡意工具。每個網(wǎng)銀木馬均價值為1000雷亞爾(約320美元)，這使得他在短時間內(nèi)獲得了巨額財富。

除了開發(fā)并售賣出網(wǎng)銀木馬，還有一些其他的因素促使Lordfenix能夠如此快的“致富”：

1、巴西有巨大的網(wǎng)上銀行用戶，僅在2013年，就有高達約51%的銀行交易通過網(wǎng)上銀行完成的。

2、巴西對網(wǎng)絡犯罪的打擊力度并不大，法律仍然不夠健全