A brazil bizarro banki trójai az Atlanti-óceánon túl ér el

A kiberbiztonsági kutatók szerint a Brazíliából származó Bizarro banki trójai az óceán túloldalán van és az Európában élő áldozatokra irányul.

Bizarro egyike annak a négy nagy banki trójainak, amelyek egy ideje már a dél-amerikai országokat sújtják. A négyet együttesen Tetrade néven ismerik, és Bizarro e hírhedt csoport egyik kiemelkedőbb tagja.

Miután eleinte elterjedt Dél-Amerikában, és elkezdte az áldozatokat megcélozni a Brazíliával szomszédos országokban, például Chilében és Argentínában, a banki trójai most utat tesz a tó felett, és megfertőzi Portugáliában, Spanyolországban, Franciaországban és Olaszországban az áldozatokat.

A Bizarro okos szociális mérnöki trükköket alkalmaz, hogy megpróbálja csalogatni áldozatait a rosszindulatú programok akaratlan telepítésére. A szokásos terjesztési lánc rosszindulatú spam e-maileket tartalmaz, amelyek MSI telepítő csomagot tartalmaznak. Az e-mailek úgy tesznek, mintha az adóhatóságoktól származnának, és fontos üzeneteket tartalmaznak, amelyek sürgősséget keltenek az áldozatban, és csábítják őket a csatolt fájlok megnyitásához.

A telepítő a végrehajtás után lefoglal egy tömörített fájlt egy korábban veszélyeztetett webhelyről, általában az Amazon Web Services vagy az Azure szerverekről. A Bizarro veszélyeztetett WordPress-domaineket is használt a hasznos terhelés lekéréséhez.

A .zip fájlban több olyan összetevő van, amely a hasznos terhet hordozza. Ezek közé tartozik egy Delphi .dll fájl és egy szkript, amely meghívhatja a .dll fájlból kivont rosszindulatú funkciót.

Miután telepítették, a banki trójai nagyon szembetűnő dolgot tesz, de a rendszeres felhasználók még nem tudják, hogy valami történik. A Bizarro leállítja az összes megtalált böngészőfolyamatot, és a felhasználót arra kényszeríti, hogy indítsa újra a munkamenetet. Amint ez megtörténik, és a felhasználó újra bejelentkezik banki szolgáltatásába, a rosszindulatú program rögzíti hitelesítő adatait.

Érdekes apró részlet, hogy a Bizarro valójában letiltja az összes űrlap automatikus kiegészítés funkcióját bármely böngészőben, így a felhasználó kénytelen teljesen kitölteni bejelentkezési adatait és a teljes húrokat betáplálni a rosszindulatú programba, amely ezt követően elküldi a parancs- és vezérlőszerverére.

A Bizarro félelmetes kártékony képességekkel rendelkezik, amelyek magukban foglalják a vágólap megfigyelését és cseréjét a kriptovaluta átutalások átirányításához, az egér és a billentyűzet bemeneteinek távvezérlését, valamint hamis pop-up értesítések létrehozását.

Hogy a trójai elterjedése folytatódik-e az öreg kontinensen, az még várat magára.

May 19, 2021