新版金融木马Cerberus可窃取Google Authenticator所产生的一次性密码

荷兰行动资安业者ThreatFabric在鼠年（RAT）公布了多款具备远端存取木马（Remote Access Trojan，RAT）能力的恶意程式，其中的一款Cerberus甚至可窃取Google Authenticator所产生一次性密码。

远端存取木马是骇客为了能够自远端控制所骇入的装置而添增的功能，在ThreatFabric所揭露的RAT行动恶意程式中，Cerberus、Gustuff、Hydra与Anubis的本质皆为金融木马，而Ginp只是个专门窃取简讯的恶意程式。

2019年6月出现的Cerberus最早只是用来汲取受骇装置的个人身份资讯，当时尚缺乏闪避侦测的能力，但已逐渐取代Anubis的地位。但ThreatFabric在今年1月中发现，Cerberus作者更新了该程式，新增了RAT能力，让它不但能够窃取使用者解锁屏幕的凭证，还能从Google Authenticator中盗走一次性密码。

研究显示，Cerberus的RAT功能可浏览装置的档案系统并下载装置内容，而且还能在装置上执行远端控制程式TeamViewer，以让骇客自远端建立连结。一旦成功启用了TeamViewer，即允许骇客变更装置设定、安装或移除程式，也能执行装置上所安装的任何程式。

至于Cerberus窃取使用者解锁凭证的方式很简单，它就是在解锁屏幕上覆盖一层界面，要求使用者解锁屏幕，并纪录使用者所输入的PIN码或解锁图形，取得该凭证之后，骇客就能随时自远端操作受骇装置。

而Google Authenticator则是Google的身份验证程式，可用来产生一次性密码以供Google或第三方服务进行双因素身份认证。研究人员指出，Cerberus可在Google Authenticator执行时直接取得所产生的密码，并将它传送到骇客所掌控的服务器上。

虽然ThreatFabric所发现的Cerberus样本已具备强化的RAT能力，但截至今年2月底尚未在地下论坛中看到Cerberus作者宣传该功能，猜测此一版本的Cerberus仍在测试中，不过应该很快就会问世。