Brazilijos Bizarro Banking Trojan pasiekia Atlanto vandenyną

Pasak kibernetinio saugumo tyrėjų, „Bizarro“ bankinis trojanas, kilęs iš Brazilijos, dabar persikėlė per vandenyną ir yra skirtas aukoms, įsikūrusioms Europoje.

Bizarro yra vienas iš keturių stambių bankų Trojos arklys, kuris kurį laiką kankina Pietų Amerikos šalis. Keturi kartu vadinami „Tetrade“, o Bizarro yra vienas žymesnių tos pagarsėjusios grupės narių.

Iš pradžių pasklidęs po Pietų Ameriką ir pradėjęs taikytis prie aukų šalyse, esančiose šalia Brazilijos, pavyzdžiui, Čilėje ir Argentinoje, bankininkystės Trojos arklys dabar žengia per tvenkinį ir užkrės aukas Portugalijoje, Ispanijoje, Prancūzijoje ir Italijoje.

„Bizarro“ naudojasi sumaniais socialinės inžinerijos triukais, siekdamas privilioti savo aukas nesąmoningai įdiegti kenkėjiškas programas. Įprasta platinimo grandinė apima kenkėjiškus šlamšto laiškus, kuriuose yra MSI diegimo programos paketas. El. Laiškuose apsimetama, kad jie yra iš mokesčių institucijų ir juose yra svarbių pranešimų, kurie sukuria aukos skubos jausmą ir vilioja juos atidaryti visus pridėtus failus.

Įdiegęs diegimo programą, jis sugriebia suglaudintą failą iš anksčiau pažeistos svetainės, paprastai „Amazon Web Services“ ar „Azure“ serverių. „Bizarro“ taip pat naudojo pažeistus „WordPress“ domenus, kad gautų naudingąją apkrovą.

.Zip failo viduje yra keli komponentai, kurie neša naudingąją apkrovą. Tai apima „Delphi .dll“ failą ir scenarijų, kuris gali iškviesti kenkėjišką funkciją, išgautą iš .dll failo.

Jį įdiegus, bankininkystės Trojanas daro kažką labai pastebimo, tačiau nuolatiniai vartotojai dar gali nežinoti, kad kažkas vyksta. „Bizarro“ nutrauks visus rastus naršyklės procesus ir privers vartotoją iš naujo paleisti sesiją. Kai tai atsitiks ir vartotojas vėl prisijungs prie savo banko paslaugos, kenkėjiška programa užfiksuos jų kredencialus.

Keista smulkmena yra ta, kad „Bizarro“ iš tikrųjų išjungia visas formos automatinio užbaigimo funkcijas bet kurioje naršyklėje, todėl vartotojas yra priverstas visiškai įvesti savo prisijungimo duomenis ir visas eilutes perkelti į kenkėjišką programą, kuri tada siunčia jas į savo komandų ir valdymo serverį.

„Bizarro“ turi baisų kenkėjiškų galimybių spektrą, įskaitant mainų srities stebėjimą ir pakeitimą, norint nukreipti kriptovaliutos pervedimus, nuotolinį pelės ir klaviatūros įvesties valdymą, taip pat suklastotų iššokančių pranešimų kūrimą.

Ar trojanas toliau plis senajame žemyne, dar laukia.

May 19, 2021