Bizarro Banking Trojan szuka ofiar w Ameryce Łacińskiej i Europie

Metamorfo Banking Trojan

Bizarro Banking Trojan, czasami nazywany Bizzaro, to zagrożenie, które po raz pierwszy pojawiło się w Ameryce Południowej. Jednak już po kilku miesiącach działalności w regionie jego operatorzy zdecydowali się rozszerzyć swoją działalność, ścigając ofiary w Europie. Najnowsza wersja trojana Bizarro Banking jest w stanie zaatakować ponad 70 unikalnych banków i instytucji finansowych aktywnych w obu regionach.

Chociaż wiele trojanów bankowych działających w Ameryce Łacińskiej jest przeznaczonych wyłącznie dla systemu Android, trojan bankowy Bizarro działa inaczej. Skupia się głównie na systemach Windows, ale szkodliwe oprogramowanie próbuje również dostarczać złośliwe oprogramowanie Android za pośrednictwem fałszywych wyskakujących okienek - prawdopodobnie w celu złamania zabezpieczeń urządzenia mobilnego ofiary i uzyskania dostępu do kodów uwierzytelniania dwuskładnikowego.

Zazwyczaj pierwszy kontakt między napastnikami a ich ofiarami następuje za pośrednictwem złośliwej wiadomości e-mail, która zawiera załącznik w postaci pliku. Przestępcy nie podjęli żadnych starań, aby ukryć ładunek - jest to instalator MSI, który udaje legalną aplikację. Zazwyczaj w takich kampaniach przestępcy polegają na plikach Microsoft Office zawierających złośliwy skrypt.

Bizarro sprawdza środowiska wirtualne i określone oprogramowanie zabezpieczające

Po uruchomieniu trojan bankowy Bizarro zbierze podstawowe informacje o systemie, takie jak obecność oprogramowania antywirusowego, domyślna przeglądarka internetowa, wersja systemu Windows i nazwa komputera. Aby przygotować zaatakowany system na atak, zamknie wszystkie działające przeglądarki i zerwie połączenie ze wszystkimi obsługiwanymi portalami bankowymi. Nie tylko to, ale również wyłączy funkcję autouzupełniania przeglądarki. W ten sposób złośliwe oprogramowanie zapewnia, że ofiara będzie musiała ponownie wprowadzić swoją nazwę użytkownika i hasło, gdy chce uzyskać dostęp do swojego konta bankowego online.

Przestępcy są w stanie wysłać ponad 100 unikalnych poleceń do aktywnego implantu. Służą one różnym celom, takim jak:

  • Wyświetlanie fałszywych błędów, ostrzeżeń i alertów.
  • Wyświetlanie fałszywej nakładki uwierzytelniania dwuskładnikowego.
  • Stwórz fałszywy monit o pobranie i zainstalowanie aplikacji na Androida, która obiecuje „zwiększyć bezpieczeństwo” - jest to złośliwe narzędzie przeznaczone do wyodrębniania kodów uwierzytelniania dwuskładnikowego.
  • Steruj myszą i klawiaturą.
  • Prześlij / pobierz i uruchom pliki.
  • Rejestruj naciśnięcia klawiszy.
  • Uruchom ponownie lub wyłącz komputer, zniszcz system Windows i nie tylko.

Inną interesującą cechą trojana Bizarro Banking jest możliwość monitorowania schowka w przypadku, gdy użytkownik skopiuje adres Bitcoin. Jeśli wykryje ciąg znaków, który jest prawidłowym adresem Bitcoin, trojan zastąpi go portfelem należącym do atakujących. W ten sposób mogą po cichu przekierowywać transakcje Bitcoin.

Bizarro Banking Trojan wykorzystuje bardzo wyrafinowane strategie socjotechniczne, aby zdobyć zaufanie użytkownika i nakłonić go do wykonania działań, o których wykonanie ich bank nigdy by nie poprosił. Operatorzy trojanów bankowych stają się coraz bardziej skradani dzięki swoim atakom, a użytkownicy muszą być o krok przed nimi, inwestując w renomowane oprogramowanie chroniące przed złośliwym oprogramowaniem.

May 19, 2021