Brasiliansk Bizarro Banking Trojan når over Atlanterhavet

Bizarro-banktrojanen, med opprinnelse i Brasil, har nå kommet seg over havet og er rettet mot ofre basert i Europa, ifølge forskere om cybersikkerhet.

Bizarro er en av de fire store banktrojanerne som har plaget søramerikanske land for en stund nå. De fire er samlet kjent som Tetrade, og Bizarro er et av de mer fremtredende medlemmene av den beryktede gruppen.

Etter først å ha spredt seg over Sør-Amerika og begynt å målrette ofre i land som grenser til Brasil, som Chile og Argentina, tar banktrojanen nå vei over dammen og smitter ofrene i Portugal, Spania, Frankrike og Italia.

Bizarro benytter smarte sosialtekniske triks for å prøve å lokke ofrene til å installere skadelig programvare uforvarende. Den vanlige distribusjonskjeden inkluderer ondsinnede spam-e-poster som inneholder en MSI-installasjonspakke. E-postene later til å stamme fra skattemyndighetene og inneholder viktige meldinger som skaper en følelse av haster hos offeret og lokker dem til å åpne eventuelle vedlagte filer.

Når installatøren, når den er utført, griper en komprimert fil fra et tidligere kompromittert nettsted, vanligvis Amazon Web Services eller Azure-servere. Bizarro har også brukt kompromitterte WordPress-domener for å hente nyttelasten fra.

Det er flere komponenter inne i .zip-filen som bærer nyttelasten. Disse inkluderer en Delphi. Dll-fil og et skript som kan kalle en ondsinnet funksjon som er hentet fra. Dll-filen.

Når den har blitt distribuert, gjør banktrojanen noe veldig iøynefallende, men vanlige brukere er kanskje ikke ennå klar over at noe skjer. Bizarro vil avslutte alle nettleserprosesser den finner og tvinge brukeren til å starte økten på nytt. Når dette har skjedd, og brukeren logger seg på banktjenesten, registrerer skadelig programvare legitimasjonen.

En merkelig liten detalj er at Bizarro faktisk deaktiverer alle former for autofullføringsfunksjoner i en hvilken som helst nettleser, slik at brukeren blir tvunget til å skrive inn påloggingsinformasjonen sin fullstendig og mate hele strengene i skadelig programvare, som deretter sender dem til sin kommando- og kontrollserver.

Bizarro har et fryktinngytende utvalg av ondsinnede funksjoner som inkluderer utklippstavleovervåking og erstatning for omdirigering av kryptovalutaoverføringer, fjernkontroll av både mus og tastaturinnganger, samt å lage falske popup-varsler.

Om spredningen av trojanen vil fortsette på det gamle kontinentet gjenstår å se.

May 19, 2021