A Bizarro Banking Trojan keres áldozatokat Latin-Amerikában és Európában
A Bizarro Banking Trojan, amelyet néha Bizzaro-nak is hívnak, fenyegetés, amely először Dél-Amerikában jelent meg. Néhány hónapos, a régióban végzett tevékenység után azonban üzemeltetői úgy döntöttek, hogy kibővítik működésüket azáltal, hogy Európában áldozatok után mennek. A Bizarro Banking Trojan legújabb iterációja több mint 70 egyedi bankot és pénzügyi intézményt képes megcélozni mindkét régióban.
Bár a Latin-Amerikában aktív banki trójai programok közül sokan kizárólag az Androidra vonatkoznak, a Bizarro Banking trójai program más. Elsődleges célja a Windows rendszerek, de a rosszindulatú programok hamis előugró ablakokon keresztül is megpróbálnak rosszindulatú Android szoftvert szállítani - valószínűleg az áldozat mobileszközének veszélyeztetése és a kétfaktoros hitelesítési kódok elérése érdekében.
A támadók és áldozataik között az első kapcsolat általában egy rosszindulatú e-mailen keresztül történik, amely egy fájlmellékletet tartalmaz. A bűnözők nem tettek semmilyen erőfeszítést a hasznos teher leplezésére - ez MSI telepítőként érkezik, amely legitim alkalmazásként jelent meg. Az ilyen kampányokban a bűnözők általában rosszindulatú parancsfájlt csomagoló Microsoft Office fájlokra támaszkodnak.
Bizarro ellenőrzi a virtuális környezeteket és a speciális biztonsági szoftvereket
A Bizarro Banking trójai végrehajtása után összegyűjti az alapvető rendszeradatokat, például a víruskereső szoftverek jelenlétét, az alapértelmezett webböngészőt, a Windows verziót és a számítógép nevét. A támadásra előkészített rendszer előkészítése érdekében bezár minden futó böngészőt és megszakítja a kapcsolatot az összes támogatott banki portállal. Nem csak ez, hanem letiltja a böngésző automatikus kitöltési funkcióját is. Így a rosszindulatú program biztosítja, hogy az áldozatnak újra be kell írnia a felhasználónevét és jelszavát, amikor hozzáférni akar az online bankszámlájához.
A bűnözők több mint 100 egyedi parancsot képesek elküldeni az aktív implantátumnak. Ezek különféle célokat szolgálnak, például:
- Hamis hibák, figyelmeztetések és figyelmeztetések megjelenítése.
- Hamis kétfaktoros hitelesítési fedvény megjelenítése.
- Hamis meghívást kap egy Android-alkalmazás letöltésére és telepítésére, amely a „biztonság fokozását” ígéri - ez egy rosszindulatú eszköz, amelynek célja a kétfaktoros hitelesítési kódok kibontása.
- Irányítsd az egeret és a billentyűzetet.
- Fájlok feltöltése / letöltése és futtatása.
- Naplózások naplózása.
- Indítsa újra vagy állítsa le a számítógépet, károsíthatja a Windows rendszert és így tovább.
A Bizarro Banking Trojan másik érdekes tulajdonsága, hogy képes figyelni a vágólapot arra az esetre, ha a felhasználó Bitcoin címet másolna. Ha érvényes Bitcoin-címsorozatot észlel, a trójai azt a támadók tulajdonában lévő pénztárcára cseréli. Így némán átirányíthatják a Bitcoin tranzakciókat.
A Bizarro Banking trójai nagyon kifinomult social-engineering stratégiákat alkalmaz a felhasználó bizalmának elnyerésére, és olyan cselekvésekre csalja őket, amelyekre bankjuk soha nem kéri őket. A banki trójai szolgáltatók egyre lopakodóbbak és lopakodóbbak a támadásaikkal, és a felhasználóknak egy lépéssel maguk előtt kell maradniuk, neves rosszindulatú szoftverekbe fektetve.