Bizarro Banking Trojan sucht Opfer in Lateinamerika und Europa

Metamorfo Banking Trojan

Der Bizarro Banking Trojaner, manchmal auch Bizzaro genannt, ist eine Bedrohung, die erstmals in Südamerika aufgetreten ist. Kurz nach einigen Monaten der Aktivität in der Region entschieden sich die Betreiber jedoch dafür, ihren Betrieb zu erweitern, indem sie Opfer in Europa betreuten. Die neueste Version des Bizarro Banking Trojan kann über 70 einzigartige Banken und Finanzinstitute ansprechen, die in beiden Regionen aktiv sind.

Obwohl viele der in Lateinamerika aktiven Banking-Trojaner exklusiv für Android sind, ist der Bizarro Banking-Trojaner anders. Windows-Systeme stehen im Vordergrund, aber die Malware versucht auch, schädliche Android-Software über gefälschte Popups bereitzustellen - wahrscheinlich, um das mobile Gerät des Opfers zu gefährden und Zugriff auf Zwei-Faktor-Authentifizierungscodes zu erhalten.

In der Regel erfolgt der erste Kontakt zwischen den Angreifern und ihren Opfern über eine böswillige E-Mail-Nachricht, die einen Dateianhang enthält. Die Kriminellen haben keine Anstrengungen unternommen, um die Nutzlast zu maskieren - es handelt sich um ein MSI-Installationsprogramm, das sich als legitime App ausgibt. In solchen Kampagnen verlassen sich die Kriminellen normalerweise auf Microsoft Office-Dateien, die ein schädliches Skript enthalten.

Bizarro prüft auf virtuelle Umgebungen und bestimmte Sicherheitssoftware

Nach der Ausführung erfasst der Bizarro Banking-Trojaner grundlegende Systemdetails wie das Vorhandensein von Antivirensoftware, den Standard-Webbrowser, die Windows-Version und den Namen des Computers. Um das gefährdete System auf den Angriff vorzubereiten, werden alle laufenden Browser geschlossen und die Verbindung zu allen unterstützten Bankportalen beendet. Darüber hinaus wird die automatische Ausfüllfunktion des Browsers deaktiviert. Auf diese Weise stellt die Malware sicher, dass das Opfer seinen Benutzernamen und sein Passwort erneut eingeben muss, wenn es auf sein Online-Bankkonto zugreifen möchte.

Die Kriminellen können über 100 eindeutige Befehle an das aktive Implantat senden. Diese dienen verschiedenen Zwecken wie:

  • Anzeigen gefälschter Fehler, Warnungen und Warnungen.
  • Anzeigen eines gefälschten Zwei-Faktor-Authentifizierungs-Overlays.
  • Erstellen Sie eine gefälschte Aufforderung zum Herunterladen und Installieren einer Android-App, die eine Verbesserung der Sicherheit verspricht. Es handelt sich um ein bösartiges Tool zum Extrahieren von Zwei-Faktor-Authentifizierungscodes.
  • Steuern Sie Maus und Tastatur.
  • Dateien hochladen / herunterladen und ausführen.
  • Tastenanschläge protokollieren.
  • Starten Sie den Computer neu oder fahren Sie ihn herunter, beschädigen Sie Windows und vieles mehr.

Ein weiteres interessantes Merkmal des Bizarro Banking-Trojaners ist die Möglichkeit, die Zwischenablage zu überwachen, falls der Benutzer eine Bitcoin-Adresse kopiert. Wenn eine Zeichenfolge erkannt wird, die eine gültige Bitcoin-Adresse ist, ersetzt der Trojaner diese durch eine Brieftasche, die den Angreifern gehört. Auf diese Weise können sie Bitcoin-Transaktionen stillschweigend umleiten.

Der Bizarro Banking-Trojaner verwendet sehr ausgefeilte Social-Engineering-Strategien, um das Vertrauen des Benutzers zu gewinnen und ihn dazu zu bringen, Aktionen auszuführen, zu denen seine Bank ihn niemals auffordern würde. Betreiber von Banking-Trojanern werden mit ihren Angriffen immer verstohlener, und Benutzer müssen ihnen einen Schritt voraus sein, indem sie in seriöse Anti-Malware-Software investieren.

May 19, 2021