Gozi/Ursnif银行木马利用假CAPTCHA绕过浏览器防护植入电脑

CAPTCHA是网站为防止网页爬虫而设计的验证机制，以确定用户是真人而非机器人程式，但是安全研究人员发现有一只银行木马程式Gozi却利用CAPTCHA企图绕过浏览器的安全功能，以下载到用户电脑。

Bleeping Computer报导，安全研究人员MalwareHunterTeam发现了银行木马Gozi的高明手法。一个影片连结在网络上流传，当用户点入连结网站准备观看影片时，网络即跳出一个类似Google reCAPTCHA的图形验证。这则reCAPTCHA由数个键组成。提示讯息要求用户依序点入键盘中的B、S、Tab键、 A、F、以及Enter键才能观看。

研究人员指出，这其实是在瞒天过海下，诱使用户绕过浏览器的防护，同意下载安装程式。以Google Chrome而言，当用户企图从网站下载程式时，Chrome会出现提示讯息，要求使用者确认是“继续”或“取消”。以本例而言，当用户按到Tab键时，就会使Chrome的“继续”键呈现准备。而当用户按下reCAPTCHA中的Enter键时，就会开启以下载并执行程式。

下载的动作会在用户的“%AppData%\\Bouncy for .NET Helper”资料夹中安装很多档案，其中的BouncyDotNet.exe持续执行，即启动PowerShell指令，并建立银行木马Gozi（或称Ursnif）的DLL档。遭感染的用户应尽速变更网银密码以免受害。

Gozi/Ursnif在受害者电脑中会窃取银行帐密、下载更多恶意程式，并且远端执行攻击者的指令，被安全厂商列为五大恶意程式之一。今年三月Ursnif木马也在欧洲横行，超过百家意大利银行客户受害。