Bizarro Banking Trojan cerca vittime in America Latina e in Europa
Bizarro Banking Trojan, a volte chiamato Bizzaro, è una minaccia emersa per la prima volta in Sud America. Tuttavia, subito dopo alcuni mesi di attività nella regione, i suoi operatori hanno deciso di espandere la propria attività perseguendo le vittime in Europa. L'ultima versione del Bizarro Banking Trojan è in grado di rivolgersi a oltre 70 banche e istituzioni finanziarie uniche attive in entrambe le regioni.
Sebbene molti dei Trojan bancari attivi in America Latina siano esclusivi per Android, il Trojan bancario Bizarro è diverso. I sistemi Windows sono il suo obiettivo principale, ma il malware cerca anche di fornire software Android dannoso tramite falsi pop-up, probabilmente nel tentativo di compromettere il dispositivo mobile della vittima e ottenere l'accesso ai codici di autenticazione a due fattori.
In genere, il primo contatto tra gli aggressori e le loro vittime avviene tramite un messaggio di posta elettronica dannoso, che contiene un file allegato. I criminali non hanno fatto alcuno sforzo per mascherare il payload: si tratta di un programma di installazione MSI, che si presenta come un'app legittima. In genere, in tali campagne, i criminali si affidano a file di Microsoft Office che racchiudono uno script dannoso.
Bizarro controlla gli ambienti virtuali e un particolare software di sicurezza
Una volta eseguito, il Bizarro Banking Trojan raccoglierà i dettagli di base del sistema come la presenza di software antivirus, browser Web predefinito, versione di Windows e il nome del computer. Per preparare il sistema compromesso all'attacco, chiuderà tutti i browser in esecuzione e terminerà la connessione a tutti i portali bancari supportati. Non solo questo, ma disabiliterà anche la funzione di riempimento automatico del browser. In questo modo, il malware garantisce che la vittima dovrà reinserire il nome utente e la password quando desidera accedere al proprio conto bancario online.
I criminali sono in grado di inviare oltre 100 comandi unici all'impianto attivo. Questi servono a vari scopi come:
- Visualizzazione di falsi errori, avvisi e avvisi.
- Visualizzazione di un falso overlay di autenticazione a due fattori.
- Genera una falsa richiesta di scaricare e installare un'app Android, che promette di "migliorare la sicurezza": è uno strumento dannoso pensato per estrarre codici di autenticazione a due fattori.
- Controlla il mouse e la tastiera.
- Carica / scarica ed esegui file.
- Registra le sequenze di tasti.
- Riavvia o spegni il computer, danneggia Windows e altro ancora.
Un'altra caratteristica interessante del Bizarro Banking Trojan è la sua capacità di monitorare gli appunti nel caso in cui l'utente copi un indirizzo Bitcoin. Se rileva una stringa che è un indirizzo Bitcoin valido, il Trojan la sostituirà con un portafoglio di proprietà degli aggressori. In questo modo, possono reindirizzare silenziosamente le transazioni Bitcoin.
Il Trojan Bizarro Banking utilizza strategie di social engineering molto sofisticate per ottenere la fiducia dell'utente e indurlo a compiere azioni che la sua banca non chiederebbe mai di fare. Gli operatori di trojan bancari stanno diventando più furtivi e furtivi con i loro attacchi e gli utenti devono stare un passo avanti a loro investendo in software anti-malware affidabili.