De Braziliaanse Bizarro-banktrojan bereikt de overkant van de Atlantische Oceaan

De Bizarro-trojan, afkomstig uit Brazilië, heeft nu zijn weg gevonden over de oceaan en richt zich volgens cybersecurityonderzoekers op slachtoffers in Europa.

Bizarro is een van de vier grote banktrojanen die Zuid-Amerikaanse landen al een tijdje teisteren. De vier staan gezamenlijk bekend als de Tetrade, en Bizarro is een van de meer prominente leden van die beruchte groep.

Na zich aanvankelijk over Zuid-Amerika te hebben verspreid en zich te richten op slachtoffers in aan Brazilië grenzende landen, zoals Chili en Argentinië, baant de banktrojan zich nu een weg over de vijver en infecteert het slachtoffers in Portugal, Spanje, Frankrijk en Italië.

Bizarro gebruikt slimme social engineering-trucs om te proberen zijn slachtoffers te verleiden de malware onbewust te installeren. De gebruikelijke distributieketen omvat kwaadaardige spam-e-mails die een MSI-installatiepakket bevatten. De e-mails doen alsof ze afkomstig zijn van de belastingdienst en bevatten belangrijke berichten die het slachtoffer een gevoel van urgentie geven en hen ertoe verleiden eventuele bijgevoegde bestanden te openen.

Het installatieprogramma haalt, eenmaal uitgevoerd, een gecomprimeerd bestand van een eerder gecompromitteerde website, meestal Amazon Web Services of Azure-servers. Bizarro heeft ook gecompromitteerde WordPress-domeinen gebruikt om zijn payload op te halen.

Er zijn verschillende componenten in het .zip-bestand die de payload bevatten. Die omvatten een Delphi .dll-bestand en een script dat een schadelijke functie kan aanroepen die uit het .dll-bestand wordt geëxtraheerd.

Als het eenmaal is geïmplementeerd, doet de banktrojan iets heel opvallends, maar regelmatige gebruikers zijn zich er misschien nog niet van bewust dat er iets aan de hand is. Bizarro zou alle browserprocessen die het vindt beëindigen en de gebruiker dwingen de sessie opnieuw te starten. Zodra dit gebeurt en de gebruiker zich opnieuw aanmeldt bij zijn bankdienst, legt de malware zijn inloggegevens vast.

Een merkwaardig klein detail is dat Bizarro feitelijk alle functies voor het automatisch aanvullen van formulieren in elke browser uitschakelt, zodat de gebruiker gedwongen wordt zijn inloggegevens volledig in te typen en de volledige reeksen in de malware in te voeren, die ze vervolgens naar zijn command and control-server stuurt.

Bizarro heeft een angstaanjagende reeks kwaadaardige mogelijkheden, waaronder klembordbewaking en vervanging voor het omleiden van cryptocurrency-overdrachten, bediening op afstand van zowel muis- als toetsenbordinvoer en het creëren van valse pop-upmeldingen.

Of de verspreiding van de Trojan zich op het oude continent zal voortzetten, valt nog te bezien.

May 19, 2021