Bizarro Banking Trojan zoekt slachtoffers in Latijns-Amerika en Europa

Bizarro Banking Trojan, ook wel Bizzaro genoemd, is een bedreiging die voor het eerst opdook in Zuid-Amerika. Echter, net na een paar maanden van activiteit in de regio, kozen de operatoren ervoor om hun activiteiten uit te breiden door achter de slachtoffers in Europa aan te gaan. De nieuwste versie van de Bizarro Banking Trojan kan zich richten op meer dan 70 unieke banken en financiële instellingen die actief zijn in beide regio's.

Hoewel veel van de bank-trojans die actief zijn in Latijns-Amerika exclusief zijn voor Android, is de Bizarro Banking-trojan anders. Windows-systemen zijn de primaire focus, maar de malware probeert ook kwaadaardige Android-software af te leveren via nep-pop-ups - waarschijnlijk in een poging om het mobiele apparaat van het slachtoffer in gevaar te brengen en toegang te krijgen tot tweefactorauthenticatiecodes.

Meestal vindt het eerste contact tussen de aanvallers en hun slachtoffers plaats via een kwaadaardig e-mailbericht dat een bestandsbijlage bevat. De criminelen hebben geen enkele poging gedaan om de lading te maskeren - het komt als een MSI-installatieprogramma, dat zich voordoet als een legitieme app. In dergelijke campagnes vertrouwen de criminelen doorgaans op Microsoft Office-bestanden die een kwaadaardig script bevatten.

Bizarro controleert virtuele omgevingen en bepaalde beveiligingssoftware

Eenmaal uitgevoerd, verzamelt de Bizarro Banking Trojan basissysteemgegevens, zoals de aanwezigheid van antivirussoftware, de standaardwebbrowser, de Windows-versie en de naam van de computer. Om het gecompromitteerde systeem voor te bereiden op de aanval, worden alle actieve browsers gesloten en wordt de verbinding met alle ondersteunde bankportals verbroken. Niet alleen dit, maar het zal ook de functie voor automatisch aanvullen van de browser uitschakelen. Op deze manier zorgt de malware ervoor dat het slachtoffer zijn gebruikersnaam en wachtwoord opnieuw moet invoeren wanneer hij toegang wil krijgen tot zijn online bankrekening.

De criminelen kunnen meer dan 100 unieke commando's naar het actieve implantaat sturen. Deze dienen verschillende doelen, zoals:

• Valse fouten, waarschuwingen en waarschuwingen weergeven.
• Een nep-overlay voor tweefactorauthenticatie weergeven.
• Laat een valse prompt verschijnen om een Android-app te downloaden en te installeren, die belooft de 'beveiliging te verbeteren' - het is een kwaadaardig hulpmiddel dat bedoeld is om tweefactorauthenticatiecodes te extraheren.
• Bedien de muis en het toetsenbord.
• Upload / download en voer bestanden uit.
• Log toetsaanslagen.
• Start de computer opnieuw op of sluit deze af, Windows beschadigt en meer.

Een ander interessant kenmerk van de Bizarro Banking Trojan is de mogelijkheid om het klembord te controleren voor het geval de gebruiker een Bitcoin-adres kopieert. Als het een string detecteert die een geldig Bitcoin-adres is, zal de Trojan deze vervangen door een portemonnee die eigendom is van de aanvallers. Op deze manier kunnen ze Bitcoin-transacties in stilte omleiden.

De Bizarro Banking Trojan gebruikt zeer geavanceerde social-engineeringstrategieën om het vertrouwen van de gebruiker te winnen en hen te misleiden tot het uitvoeren van acties die hun bank hen nooit zou vragen. Operators van banktrojanen worden heimelijker en heimelijker met hun aanvallen, en gebruikers moeten hen een stap voor blijven door te investeren in betrouwbare antimalwaresoftware.