Bleeping Computer 報導稱：Ursnif 網銀木馬的一個新變種（又稱 Gozi），正在對粗心的受害者展開基於無害驗證碼的欺騙攻擊，以竊取他們的敏感資訊。 MalwareHunterTeam 曝光了這款變種木馬，可知當試圖通過特定 URL 觀看嵌入頁面的 YouTube 視頻時，它會引誘受害者下載一個所謂”console-play.exe”的惡意檔。

惡意網站截圖

惡意網站會顯示一個虛假的 reCAPTCHA 驗證介面，以證明訪客是真人而不是機器人。

同時由於這個「播放控制台」是一個可執行檔，瀏覽器會向使用者發出潛在的惡意軟體威脅警告。 即便如此，毫無戒心的用戶還是很容易上鉤。

虛假的 reCAPTCHA 人機驗證介面

如上圖所示，該網站會要求使用者依次按下 B、S、Tab、A、F、以及回車鍵。 對於熟悉快捷鍵操作的熟練計算機用戶來說，明顯知道 BSAF 這幾個字母其實都是幌子。

因為在當前介面下，一旦你按下了 Tab 和回車鍵，就有可能在不知不覺中將 Ursnif 木馬程式給保留下來。 此時網頁視頻也會繼續播放，因此具有相當大的迷惑性。

.NET Helper 資料夾中的內容

如果下載運行了 console-play.exe，就會在系統 AppData 下的 Roaming 路徑，創建一個名為”Bouncy for .NET Helper”的資料夾。

為了混淆視聽，惡意軟體製作者還特意在”BouncyDotNet.exe”主程式之外，夾雜了大量的誘餌檔。

註冊表詳情

據悉，BouncyDotNet.exe 會創建有助於 Ursnif 網銀木馬傳播的感染性動態連結庫（DLL）檔，以進一步竊取與憑證相關的敏感資訊。

但這其實並不是本年度的第一波 Ursnif 惡意軟體攻擊，因為 Avast 早在 3 月份就指出，這款網銀木馬已經導致義大利 100 多家銀行躺槍。