Il Trojan bancario brasiliano Bizarro raggiunge l'Atlantico

Secondo i ricercatori della sicurezza informatica, il trojan bancario Bizarro, originario del Brasile, si è fatto strada attraverso l'oceano e sta prendendo di mira le vittime con sede in Europa.

Bizarro è uno dei quattro grandi trojan bancari che da un po 'di tempo affliggono i paesi sudamericani. I quattro sono noti collettivamente come Tetrade e Bizarro è uno dei membri più importanti di quel famigerato gruppo.

Dopo essersi inizialmente diffuso in tutto il Sud America e aver iniziato a prendere di mira le vittime nei paesi adiacenti al Brasile, come il Cile e l'Argentina, il Trojan bancario si sta facendo strada attraverso lo stagno e infettando le vittime in Portogallo, Spagna, Francia e Italia.

Bizarro utilizza ingegnosi trucchi di ingegneria sociale per tentare di indurre le sue vittime a installare involontariamente il malware. La normale catena di distribuzione include e-mail di spam dannose che contengono un pacchetto di installazione MSI. Le e-mail fingono di provenire dalle autorità fiscali e contengono messaggi importanti che creano un senso di urgenza nella vittima e la inducono ad aprire eventuali file allegati.

Il programma di installazione, una volta eseguito, preleva un file compresso da un sito Web precedentemente compromesso, in genere Amazon Web Services o server Azure. Bizarro ha anche utilizzato domini WordPress compromessi per recuperare il suo payload da.

Ci sono diversi componenti all'interno del file .zip che trasporta il payload. Questi includono un file .dll di Delphi e uno script che può chiamare una funzione dannosa che viene estratta dal file .dll.

Una volta implementato, il trojan bancario fa qualcosa di molto evidente, ma gli utenti regolari potrebbero non essere ancora consapevoli che qualcosa sta succedendo. Bizarro interromperà tutti i processi del browser che trova e costringerà l'utente a riavviare la sessione. Una volta che ciò accade e l'utente accede nuovamente al proprio servizio bancario, il malware acquisisce le proprie credenziali.

Un piccolo dettaglio curioso è che Bizarro disabilita effettivamente tutte le funzioni di completamento automatico dei moduli in qualsiasi browser, in modo che l'utente sia costretto a digitare completamente le proprie credenziali di accesso e inserire le stringhe complete nel malware, che quindi le invia al suo server di comando e controllo.

Bizarro ha una gamma spaventosa di funzionalità dannose che includono il monitoraggio degli appunti e la sostituzione per il reindirizzamento dei trasferimenti di criptovaluta, il controllo remoto degli input del mouse e della tastiera e la creazione di false notifiche pop-up.

Resta da vedere se la diffusione del Trojan continuerà nel vecchio continente.

May 19, 2021