A Bizarro Banking Trojan keres áldozatokat Latin-Amerikában és Európában

Metamorfo Banking Trojan

A Bizarro Banking Trojan, amelyet néha Bizzaro-nak is hívnak, fenyegetés, amely először Dél-Amerikában jelent meg. Néhány hónapos, a régióban végzett tevékenység után azonban üzemeltetői úgy döntöttek, hogy kibővítik működésüket azáltal, hogy Európában áldozatok után mennek. A Bizarro Banking Trojan legújabb iterációja több mint 70 egyedi bankot és pénzügyi intézményt képes megcélozni mindkét régióban.

Bár a Latin-Amerikában aktív banki trójai programok közül sokan kizárólag az Androidra vonatkoznak, a Bizarro Banking trójai program más. Elsődleges célja a Windows rendszerek, de a rosszindulatú programok hamis előugró ablakokon keresztül is megpróbálnak rosszindulatú Android szoftvert szállítani - valószínűleg az áldozat mobileszközének veszélyeztetése és a kétfaktoros hitelesítési kódok elérése érdekében.

A támadók és áldozataik között az első kapcsolat általában egy rosszindulatú e-mailen keresztül történik, amely egy fájlmellékletet tartalmaz. A bűnözők nem tettek semmilyen erőfeszítést a hasznos teher leplezésére - ez MSI telepítőként érkezik, amely legitim alkalmazásként jelent meg. Az ilyen kampányokban a bűnözők általában rosszindulatú parancsfájlt csomagoló Microsoft Office fájlokra támaszkodnak.

Bizarro ellenőrzi a virtuális környezeteket és a speciális biztonsági szoftvereket

A Bizarro Banking trójai végrehajtása után összegyűjti az alapvető rendszeradatokat, például a víruskereső szoftverek jelenlétét, az alapértelmezett webböngészőt, a Windows verziót és a számítógép nevét. A támadásra előkészített rendszer előkészítése érdekében bezár minden futó böngészőt és megszakítja a kapcsolatot az összes támogatott banki portállal. Nem csak ez, hanem letiltja a böngésző automatikus kitöltési funkcióját is. Így a rosszindulatú program biztosítja, hogy az áldozatnak újra be kell írnia a felhasználónevét és jelszavát, amikor hozzáférni akar az online bankszámlájához.

A bűnözők több mint 100 egyedi parancsot képesek elküldeni az aktív implantátumnak. Ezek különféle célokat szolgálnak, például:

  • Hamis hibák, figyelmeztetések és figyelmeztetések megjelenítése.
  • Hamis kétfaktoros hitelesítési fedvény megjelenítése.
  • Hamis meghívást kap egy Android-alkalmazás letöltésére és telepítésére, amely a „biztonság fokozását” ígéri - ez egy rosszindulatú eszköz, amelynek célja a kétfaktoros hitelesítési kódok kibontása.
  • Irányítsd az egeret és a billentyűzetet.
  • Fájlok feltöltése / letöltése és futtatása.
  • Naplózások naplózása.
  • Indítsa újra vagy állítsa le a számítógépet, károsíthatja a Windows rendszert és így tovább.

A Bizarro Banking Trojan másik érdekes tulajdonsága, hogy képes figyelni a vágólapot arra az esetre, ha a felhasználó Bitcoin címet másolna. Ha érvényes Bitcoin-címsorozatot észlel, a trójai azt a támadók tulajdonában lévő pénztárcára cseréli. Így némán átirányíthatják a Bitcoin tranzakciókat.

A Bizarro Banking trójai nagyon kifinomult social-engineering stratégiákat alkalmaz a felhasználó bizalmának elnyerésére, és olyan cselekvésekre csalja őket, amelyekre bankjuk soha nem kéri őket. A banki trójai szolgáltatók egyre lopakodóbbak és lopakodóbbak a támadásaikkal, és a felhasználóknak egy lépéssel maguk előtt kell maradniuk, neves rosszindulatú szoftverekbe fektetve.

May 19, 2021