Der brasilianische Bizarro-Banking-Trojaner erreicht den Atlantik

Der aus Brasilien stammende Bizarro-Bankentrojaner hat nun seinen Weg über den Ozean gefunden und zielt laut Cyber-Sicherheitsforschern auf Opfer mit Sitz in Europa ab.

Bizarro ist einer der vier großen Bankentrojaner, die seit einiger Zeit südamerikanische Länder plagen. Die vier sind zusammen als Tetrade bekannt, und Bizarro ist eines der prominentesten Mitglieder dieser berüchtigten Gruppe.

Nachdem sich der Bankentrojaner zunächst in Südamerika ausgebreitet hat und Opfer in brasilianischen Nachbarländern wie Chile und Argentinien ins Visier genommen hat, macht er sich nun auf den Weg über den Teich und infiziert Opfer in Portugal, Spanien, Frankreich und Italien.

Bizarro verwendet clevere Social-Engineering-Tricks, um seine Opfer dazu zu bringen, die Malware unabsichtlich zu installieren. Die übliche Vertriebskette umfasst böswillige Spam-E-Mails, die ein MSI-Installationspaket enthalten. Die E-Mails geben vor, von Steuerbehörden zu stammen, und enthalten wichtige Nachrichten, die beim Opfer ein Gefühl der Dringlichkeit hervorrufen und sie dazu verleiten, angehängte Dateien zu öffnen.

Sobald das Installationsprogramm ausgeführt wurde, ruft es eine komprimierte Datei von einer zuvor kompromittierten Website ab, normalerweise von Amazon Web Services- oder Azure-Servern. Bizarro hat auch kompromittierte WordPress-Domains verwendet, um seine Nutzdaten abzurufen.

Die ZIP-Datei enthält mehrere Komponenten, die die Nutzdaten enthalten. Dazu gehören eine Delphi-DLL-Datei und ein Skript, das eine schädliche Funktion aufrufen kann, die aus der DLL-Datei extrahiert wird.

Nach der Bereitstellung macht der Banking-Trojaner etwas sehr Auffälliges, aber normale Benutzer wissen möglicherweise noch nicht, dass etwas los ist. Bizarro würde alle gefundenen Browserprozesse beenden und den Benutzer zwingen, die Sitzung neu zu starten. Sobald dies geschieht und sich der Benutzer erneut bei seinem Bankdienst anmeldet, erfasst die Malware ihre Anmeldeinformationen.

Ein merkwürdiges kleines Detail ist, dass Bizarro tatsächlich alle Funktionen zur automatischen Vervollständigung von Formularen in jedem Browser deaktiviert, sodass der Benutzer gezwungen ist, seine Anmeldeinformationen vollständig einzugeben und die vollständigen Zeichenfolgen in die Malware einzugeben, die sie dann an seinen Befehls- und Steuerungsserver sendet.

Bizarro verfügt über eine Reihe von schädlichen Funktionen, darunter die Überwachung der Zwischenablage und das Ersetzen für die Umleitung von Kryptowährungsübertragungen, die Fernsteuerung von Maus- und Tastatureingaben sowie das Erstellen gefälschter Popup-Benachrichtigungen.

Ob sich der Trojaner auf dem alten Kontinent weiter ausbreiten wird, bleibt abzuwarten.