Bizarro Banking Trojan leder efter ofre i Latinamerika og Europa

Bizarro Banking Trojan, undertiden kaldet Bizzaro, er en trussel, der først opstod i Sydamerika. Imidlertid valgte operatørerne lige efter et par måneders aktivitet i regionen at udvide deres operation ved at tage sig af ofre i Europa. Den seneste iteration af Bizarro Banking Trojan er i stand til at målrette mod over 70 unikke banker og finansielle institutioner, der er aktive i begge regioner.

Selvom mange af de banktrojanske heste, der er aktive i Latinamerika, er eksklusive til Android, er Bizarro Banking Trojan anderledes. Windows-systemer er dets primære fokus, men malware forsøger også at levere ondsindet Android-software via falske pop op-vinduer - sandsynligvis i et forsøg på at kompromittere offerets mobile enhed og få adgang til to-faktor-godkendelseskoder.

Typisk sker den første kontakt mellem angriberne og deres ofre via en ondsindet e-mail-besked, der indeholder en vedhæftet fil. Kriminelle har ikke gjort noget for at skjule nyttelasten - det kommer som et MSI-installationsprogram, der udgør en legitim app. I sådanne kampagner stoler kriminelle typisk på Microsoft Office-filer, der pakker et ondsindet script.

Bizarro kontrollerer virtuelle miljøer og særlig sikkerhedssoftware

Når den er udført, samler Bizarro Banking Trojan grundlæggende systemoplysninger såsom tilstedeværelsen af antivirussoftware, standardwebbrowser, Windows-version og navnet på computeren. For at forberede det kompromitterede system til angrebet lukker det alle kørende browsere og afslutter forbindelsen til alle understøttede bankportaler. Ikke kun dette, men det deaktiverer også browserens autofyldningsfunktion. På denne måde sikrer malware, at offeret bliver nødt til at indtaste deres brugernavn og adgangskode igen, når de ønsker at få adgang til deres online bankkonto.

Kriminelle er i stand til at sende over 100 unikke kommandoer til det aktive implantat. Disse tjener forskellige formål såsom:

• Visning af falske fejl, advarsler og alarmer.
• Viser et falsk to-faktor-godkendelsesoverlay.
• Gyd en falsk opfordring til at downloade og installere en Android-app, der lover at 'forbedre sikkerheden' - det er et ondsindet værktøj, der er beregnet til at udtrække tofaktorautentificeringskoder.
• Styr musen og tastaturet.
• Upload / download og kør filer.
• Log tastetryk.
• Genstart eller luk computeren, beskadig Windows og mere.

Et andet interessant træk ved Bizarro Banking Trojan er dens evne til at overvåge udklipsholderen, hvis brugeren kopierer en Bitcoin-adresse. Hvis den opdager en streng, der er en gyldig Bitcoin-adresse, erstatter Trojan den med en tegnebog, der ejes af angriberne. På denne måde kan de lydløst omdirigere Bitcoin-transaktioner.

Bizarro Banking Trojan bruger meget sofistikerede socialtekniske strategier for at vinde brugerens tillid og narre dem til at udføre handlinger, som deres bank aldrig vil bede dem om at gøre. Bank-trojanske operatører bliver snigende og snigere med deres angreb, og brugerne skal være et skridt foran dem ved at investere i velrenommeret anti-malware-software.