Bizarro Banking Trojan ser etter ofre i Latin-Amerika og Europa

Metamorfo Banking Trojan

Bizarro Banking Trojan, noen ganger kalt Bizzaro, er en trussel som først dukket opp i Sør-Amerika. Imidlertid valgte operatørene like etter noen måneders aktivitet i regionen å utvide driften ved å gå etter ofre i Europa. Den siste iterasjonen av Bizarro Banking Trojan er i stand til å målrette seg mot over 70 unike banker og finansinstitusjoner som er aktive i begge regioner.

Selv om mange av banktrojanerne som er aktive i Latin-Amerika er eksklusive for Android, er Bizarro Banking Trojan annerledes. Windows-systemer er hovedfokus, men skadelig programvare prøver også å levere skadelig Android-programvare via falske popup-vinduer - sannsynligvis i et forsøk på å kompromittere offerets mobile enhet og få tilgang til tofaktorautentiseringskoder.

Vanligvis skjer den første kontakten mellom angriperne og ofrene deres via en ondsinnet e-postmelding, som inneholder filvedlegg. Kriminelle har ikke gjort noe for å maskere nyttelasten - den kommer som en MSI-installatør, som utgjør en legitim app. I slike kampanjer stoler kriminelle vanligvis på Microsoft Office-filer som pakker et ondsinnet skript.

Bizarro sjekker for virtuelle miljøer og spesiell sikkerhetsprogramvare

Når den er utført, samler Bizarro Banking Trojan grunnleggende systemdetaljer som for eksempel tilstedeværelse av antivirusprogramvare, standard nettleser, Windows-versjon og navnet på datamaskinen. For å forberede det kompromitterte systemet for angrepet, lukker det alle aktive nettlesere og avslutter forbindelsen til alle støttede bankportaler. Ikke bare dette, men det vil også deaktivere nettleserens autofyll-funksjon. På denne måten sørger skadelig programvare for at offeret trenger å skrive inn brukernavnet og passordet på nytt når de vil ha tilgang til bankkontoen på nettet.

Kriminelle kan sende over 100 unike kommandoer til det aktive implantatet. Disse tjener forskjellige formål som:

  • Viser falske feil, advarsler og varsler.
  • Viser et falskt to-faktor autentiseringsoverlegg.
  • Gy en falsk melding om å laste ned og installere en Android-app, som lover å 'øke sikkerheten' - det er et ondsinnet verktøy ment å trekke ut tofaktorautentiseringskoder.
  • Kontroller musen og tastaturet.
  • Last opp / last ned og kjør filer.
  • Logg tastetrykk.
  • Start datamaskinen på nytt eller slå den av, skader Windows og mer.

Et annet interessant trekk ved Bizarro Banking Trojan er dens evne til å overvåke utklippstavlen i tilfelle brukeren kopierer en Bitcoin-adresse. Hvis den oppdager en streng som er en gyldig Bitcoin-adresse, erstatter Trojan den med en lommebok som eies av angriperne. På denne måten kan de stille viderekobling av Bitcoin-transaksjoner.

Bizarro Banking Trojan bruker svært sofistikerte sosialtekniske strategier for å få brukerens tillit og lure dem til å utføre handlinger som banken deres aldri vil be dem om å gjøre. Bank-trojanske operatører blir skjult og skjult med angrepene sine, og brukerne må ligge et skritt foran dem ved å investere i anerkjent programvare mot skadelig programvare.

May 19, 2021