Bizarro BankingTrojanがラテンアメリカとヨーロッパで被害者を探す
Bizarro Banking Trojanは、Bizzaroと呼ばれることもあり、南米で最初に出現した脅威です。しかし、この地域での数か月の活動の直後、その事業者はヨーロッパの犠牲者を追いかけることによって事業を拡大することを選択しました。 Bizarro Banking Trojanの最新版は、両方の地域で活動している70を超えるユニークな銀行と金融機関をターゲットにすることができます。
ラテンアメリカで活動しているバンキング型トロイの木馬の多くはAndroid専用ですが、Bizarroバンキング型トロイの木馬は異なります。 Windowsシステムが主な焦点ですが、マルウェアは、おそらく被害者のモバイルデバイスを危険にさらし、2要素認証コードにアクセスしようとして、偽のポップアップを介して悪意のあるAndroidソフトウェアを配信しようとします。
通常、攻撃者と被害者の間の最初の接触は、添付ファイルを含む悪意のある電子メールメッセージを介して行われます。犯罪者はペイロードをマスクするための努力をしていません–それは合法的なアプリを装ったMSIインストーラーとして提供されます。通常、このようなキャンペーンでは、犯罪者は悪意のあるスクリプトをパックしたMicrosoftOfficeファイルに依存しています。
Bizarroは仮想環境と特定のセキュリティソフトウェアをチェックします
Bizarro Banking Trojanは、実行されると、ウイルス対策ソフトウェアの存在、デフォルトのWebブラウザー、Windowsのバージョン、コンピューターの名前など、基本的なシステムの詳細を収集します。侵害されたシステムを攻撃に備えるために、実行中のすべてのブラウザを閉じ、サポートされているすべてのバンキングポータルへの接続を終了します。これだけでなく、ブラウザの自動入力機能も無効になります。このように、マルウェアは、被害者がオンライン銀行口座にアクセスしたいときに、ユーザー名とパスワードを再入力する必要があることを保証します。
犯罪者は、100を超える固有のコマンドをアクティブなインプラントに送信できます。これらは、次のようなさまざまな目的に役立ちます。
- 偽のエラー、警告、およびアラートを表示します。
- 偽の2要素認証オーバーレイを表示します。
- Androidアプリをダウンロードしてインストールするための偽のプロンプトを生成します。これは、「セキュリティの強化」を約束します。これは、2要素認証コードを抽出することを目的とした悪意のあるツールです。
- マウスとキーボードを制御します。
- ファイルをアップロード/ダウンロードして実行します。
- キーストロークをログに記録します。
- コンピュータを再起動またはシャットダウンしたり、Windowsを損傷したりします。
Bizarro Banking Trojanのもう1つの興味深い機能は、ユーザーがビットコインアドレスをコピーした場合にクリップボードを監視する機能です。有効なビットコインアドレスである文字列を検出すると、トロイの木馬はそれを攻撃者が所有するウォレットに置き換えます。このようにして、彼らはビットコイントランザクションをサイレントにリダイレクトできます。
Bizarro Banking Trojanは、非常に洗練されたソーシャルエンジニアリング戦略を使用して、ユーザーの信頼を獲得し、銀行が決して要求しないアクションを実行するようにユーザーを騙します。銀行のトロイの木馬オペレーターは攻撃に対してますますステルスになりつつあり、ユーザーは評判の良いマルウェア対策ソフトウェアに投資することで、一歩先を行く必要があります。