Le cheval de Troie brésilien Bizarro Banking traverse l'Atlantique

Le cheval de Troie bancaire Bizarro, originaire du Brésil, a désormais traversé l'océan et cible des victimes basées en Europe, selon des chercheurs en cybersécurité.

Bizarro est l'un des quatre grands chevaux de Troie bancaires qui sévissent depuis un certain temps dans les pays d'Amérique du Sud. Les quatre sont collectivement connus sous le nom de Tetrade, et Bizarro est l'un des membres les plus éminents de ce groupe notoire.

Après s'être d'abord répandu en Amérique du Sud et avoir commencé à cibler des victimes dans des pays adjacents au Brésil, comme le Chili et l'Argentine, le cheval de Troie bancaire traverse désormais l'étang et infecte des victimes au Portugal, en Espagne, en France et en Italie.

Bizarro utilise des astuces d'ingénierie sociale intelligentes pour essayer d'attirer ses victimes dans l'installation du malware sans le vouloir. La chaîne de distribution habituelle comprend les e-mails de spam malveillants contenant un package d'installation MSI. Les e-mails prétendent provenir des autorités fiscales et contiennent des messages importants qui créent un sentiment d'urgence chez la victime et les incite à ouvrir les fichiers joints.

Le programme d'installation, une fois exécuté, récupère un fichier compressé d'un site Web précédemment compromis, généralement des serveurs Amazon Web Services ou Azure. Bizarro a également utilisé des domaines WordPress compromis pour récupérer sa charge utile.

Le fichier .zip contient plusieurs composants qui transportent la charge utile. Ceux-ci incluent un fichier Delphi .dll et un script qui peut appeler une fonction malveillante extraite du fichier .dll.

Une fois déployé, le cheval de Troie bancaire fait quelque chose de très visible, mais les utilisateurs réguliers peuvent ne pas encore savoir qu'il se passe quelque chose. Bizarro mettrait fin à tous les processus de navigateur qu'il trouve et obligerait l'utilisateur à redémarrer la session. Une fois que cela se produit et que l'utilisateur se reconnecte à son service bancaire, le logiciel malveillant capture ses informations d'identification.

Un petit détail curieux est que Bizarro désactive en fait toutes les fonctions de saisie semi-automatique de formulaire dans n'importe quel navigateur, de sorte que l'utilisateur est obligé de taper complètement ses informations de connexion et d'introduire les chaînes complètes dans le logiciel malveillant, qui les envoie ensuite à son serveur de commande et de contrôle.

Bizarro possède une gamme redoutable de capacités malveillantes qui incluent la surveillance du presse-papiers et le remplacement de la redirection des transferts de crypto-monnaie, le contrôle à distance des entrées de la souris et du clavier ainsi que la création de fausses notifications contextuelles.

Reste à savoir si la propagation du cheval de Troie se poursuivra sur le vieux continent.

May 19, 2021