Brasiliansk Bizarro Banking Trojan når ud over Atlanterhavet

Bizarro-banktrojanen, der har oprindelse i Brasilien, er nu kommet over havet og er rettet mod ofre baseret i Europa, ifølge cybersikkerhedsforskere.

Bizarro er en af de fire store banktrojanere, der har plaget sydamerikanske lande i et stykke tid nu. De fire er samlet kendt som Tetrade, og Bizarro er et af de mere fremtrædende medlemmer af den berygtede gruppe.

Efter oprindeligt at have spredt sig over Sydamerika og begyndt at målrette ofre i lande, der støder op til Brasilien, såsom Chile og Argentina, er banktrojanen nu på vej over dammen og inficerer ofre i Portugal, Spanien, Frankrig og Italien.

Bizarro anvender kloge socialtekniske tricks for at forsøge at lokke sine ofre til at installere malware uforvarende. Den sædvanlige distributionskæde inkluderer ondsindede spam-e-mails, der indeholder en MSI-installationspakke. E-mails foregiver at stamme fra skattemyndigheder og indeholder vigtige meddelelser, der skaber en følelse af haster hos offeret og lokker dem til at åbne eventuelle vedhæftede filer.

Når installationen er udført, griber den en komprimeret fil fra et tidligere kompromitteret websted, normalt Amazon Web Services eller Azure-servere. Bizarro har også brugt kompromitterede WordPress-domæner til at hente sin nyttelast fra.

Der er flere komponenter inde i .zip-filen, der bærer nyttelasten. Disse inkluderer en Delphi. Dll-fil og et script, der kan kalde en ondsindet funktion, der udvindes fra. Dll-filen.

Når den først er blevet implementeret, gør bank-trojanen noget meget iøjnefaldende, men almindelige brugere er måske endnu ikke klar over, at der sker noget. Bizarro vil afslutte alle browserprocesser, den finder, og tvinge brugeren til at genstarte sessionen. Når dette sker, og brugeren logger ind på deres banktjeneste, registrerer malware deres legitimationsoplysninger.

En nysgerrig lille detalje er, at Bizarro faktisk deaktiverer alle former for autofuldførelsesfunktioner i enhver browser, så brugeren er tvunget til fuldt ud at skrive deres loginoplysninger og føje de fulde strenge ind i malware, som derefter sender dem til sin kommando- og kontrolserver.

Bizarro har en frygtelig vifte af ondsindede funktioner, der inkluderer udklipsholderovervågning og erstatning for omdirigering af kryptovalutaoverførsler, fjernbetjening af både mus- og tastaturindgange samt oprettelse af falske pop-up-underretninger.

Om spredningen af trojanen vil fortsætte på det gamle kontinent, skal stadig ses.