ブラジルのBizarroBankingトロイの木馬が大西洋を越えて到達

サイバーセキュリティの研究者によると、ブラジルを起源とするBizarroバンキング型トロイの木馬は、現在、海を越えて侵入し、ヨーロッパを拠点とする被害者を標的にしています。

Bizarroは、南米諸国をしばらく悩ませてきた4つの大きな銀行トロイの木馬の1つです。 4つはまとめてTetradeとして知られており、Bizarroはその悪名高いグループの最も著名なメンバーの1人です。

当初は南米に広がり、チリやアルゼンチンなどブラジルに隣接する国の被害者を標的にし始めた後、銀行のトロイの木馬は現在、池を越えて進み、ポルトガル、スペイン、フランス、イタリアの被害者に感染しています。

Bizarroは、巧妙なソーシャルエンジニアリングのトリックを使用して、被害者を無意識のうちにマルウェアをインストールさせようとします。通常の配布チェーンには、MSIインストーラパッケージを含む悪意のあるスパムメールが含まれます。電子メールは税務当局から発信されたふりをしており、被害者に切迫感を与え、添付ファイルを開くように誘惑する重要なメッセージが含まれています。

インストーラーは、実行されると、以前に侵害されたWebサイト(通常はAmazon Web ServicesまたはAzureサーバー)から圧縮ファイルを取得します。 Bizarroは、侵害されたWordPressドメインを使用してペイロードをフェッチしました。

ペイロードを運ぶ.zipファイル内にはいくつかのコンポーネントがあります。これには、Delphi .dllファイルと、.dllファイルから抽出された悪意のある関数を呼び出すことができるスクリプトが含まれます。

展開されると、バンキング型トロイの木馬は非常に目立つことを行いますが、通常のユーザーはまだ何かが起こっていることに気付いていない可能性があります。 Bizarroは、検出したすべてのブラウザプロセスを終了し、ユーザーにセッションの再開を強制します。これが発生し、ユーザーが銀行サービスに再ログインすると、マルウェアはユーザーの資格情報を取得します。

不思議なことに、Bizarroは実際にはすべてのブラウザですべてのフォームのオートコンプリート機能を無効にしているため、ユーザーはログインクレデンシャルを完全に入力し、マルウェアに完全な文字列を入力する必要があります。マルウェアはそれらをコマンドおよび制御サーバーに送信します。

Bizarroには、クリップボードの監視と暗号通貨転送のリダイレクトの置き換え、マウスとキーボードの両方の入力のリモートコントロール、偽のポップアップ通知の作成など、恐ろしい範囲の悪意のある機能があります。

トロイの木馬の蔓延が旧大陸で続くかどうかはまだ分からない。

May 19, 2021