Bizarro Banking Trojan recherche des victimes en Amérique latine et en Europe

Bizarro Banking Trojan, parfois appelé Bizzaro, est une menace qui est apparue pour la première fois en Amérique du Sud. Cependant, juste après quelques mois d'activité dans la région, ses opérateurs ont choisi d'étendre leur opération en s'attaquant aux victimes en Europe. La dernière version du cheval de Troie Bizarro Banking est capable de cibler plus de 70 banques et institutions financières uniques actives dans les deux régions.

Bien que de nombreux chevaux de Troie bancaires actifs en Amérique latine soient exclusifs à Android, le cheval de Troie Bizarro Banking est différent. Les systèmes Windows sont son objectif principal, mais le logiciel malveillant tente également de fournir un logiciel Android malveillant via de fausses fenêtres contextuelles - probablement dans le but de compromettre l'appareil mobile de la victime et d'accéder à des codes d'authentification à deux facteurs.

En règle générale, le premier contact entre les attaquants et leurs victimes se produit via un e-mail malveillant, qui contient une pièce jointe. Les criminels n'ont fait aucun effort pour masquer la charge utile - il s'agit d'un programme d'installation MSI, qui se présente comme une application légitime. En règle générale, dans de telles campagnes, les criminels s'appuient sur des fichiers Microsoft Office contenant un script malveillant.

Bizarro vérifie les environnements virtuels et les logiciels de sécurité particuliers

Une fois exécuté, le cheval de Troie Bizarro Banking rassemblera les détails du système de base tels que la présence d'un logiciel antivirus, le navigateur Web par défaut, la version de Windows et le nom de l'ordinateur. Afin de préparer le système compromis à l'attaque, il fermera tous les navigateurs en cours d'exécution et mettra fin à la connexion à tous les portails bancaires pris en charge. Non seulement cela, mais cela désactivera également la fonction de remplissage automatique du navigateur. De cette façon, le logiciel malveillant garantit que la victime devra saisir à nouveau son nom d'utilisateur et son mot de passe lorsqu'elle souhaite accéder à son compte bancaire en ligne.

Les criminels peuvent envoyer plus de 100 commandes uniques à l'implant actif. Ceux-ci ont des objectifs divers tels que:

• Affichage de fausses erreurs, avertissements et alertes.
• Affichage d'une fausse superposition d'authentification à deux facteurs.
• Créez une fausse invite pour télécharger et installer une application Android, qui promet de `` renforcer la sécurité '' - il s'agit d'un outil malveillant destiné à extraire des codes d'authentification à deux facteurs.
• Contrôlez la souris et le clavier.
• Télécharger / télécharger et exécuter des fichiers.
• Enregistrer les frappes.
• Redémarrez ou éteignez l'ordinateur, endommagez Windows, etc.

Une autre caractéristique intéressante du cheval de Troie Bizarro Banking est sa capacité à surveiller le presse-papiers au cas où l'utilisateur copie une adresse Bitcoin. S'il détecte une chaîne qui est une adresse Bitcoin valide, le cheval de Troie la remplacera par un portefeuille appartenant aux attaquants. De cette façon, ils peuvent rediriger silencieusement les transactions Bitcoin.

Le cheval de Troie Bizarro Banking utilise des stratégies d'ingénierie sociale très sophistiquées pour gagner la confiance de l'utilisateur et l'inciter à effectuer des actions que sa banque ne lui demanderait jamais de faire. Les opérateurs de chevaux de Troie bancaires deviennent de plus en plus furtifs avec leurs attaques, et les utilisateurs doivent garder une longueur d'avance sur eux en investissant dans des logiciels anti-malware réputés.