Brazylijski trojan bankowy Bizarro dociera przez Atlantyk

Według badaczy cyberbezpieczeństwa trojan bankowy Bizarro, pochodzący z Brazylii, przedostał się teraz za ocean i atakuje ofiary z Europy.

Bizarro to jeden z czterech dużych trojanów bankowych, które od jakiegoś czasu nękają kraje Ameryki Południowej. Czwórka jest znana jako Tetrade, a Bizarro jest jednym z bardziej znanych członków tej osławionej grupy.

Po tym, jak początkowo rozprzestrzenił się w Ameryce Południowej i zaczął atakować ofiary w krajach sąsiadujących z Brazylią, takich jak Chile i Argentyna, trojan bankowy przedostaje się teraz przez staw i zaraża ofiary w Portugalii, Hiszpanii, Francji i Włoszech.

Bizarro stosuje sprytne sztuczki socjotechniczne, aby zwabić swoje ofiary do nieświadomego zainstalowania szkodliwego oprogramowania. Zwykły łańcuch dystrybucji obejmuje złośliwe wiadomości spamowe, które zawierają pakiet instalatora MSI. E-maile udają, że pochodzą od organów podatkowych i zawierają ważne wiadomości, które stwarzają poczucie pilności w ofierze i zachęcają ją do otwarcia załączonych plików.

Po uruchomieniu instalator pobiera skompresowany plik z wcześniej zaatakowanej witryny internetowej, zwykle Amazon Web Services lub serwerów Azure. Bizarro wykorzystał również zhakowane domeny WordPress, aby pobrać swój ładunek z.

W pliku .zip znajduje się kilka komponentów przenoszących ładunek. Należą do nich plik .dll Delphi i skrypt, który może wywołać złośliwą funkcję wyodrębnioną z pliku .dll.

Po wdrożeniu trojan bankowy robi coś bardzo rzucającego się w oczy, ale zwykli użytkownicy mogą jeszcze nie być świadomi, że coś się dzieje. Bizarro zakończyłby wszystkie znalezione procesy przeglądarki i zmusiłby użytkownika do ponownego uruchomienia sesji. Gdy to się stanie, a użytkownik ponownie zaloguje się do usługi bankowej, złośliwe oprogramowanie przechwytuje ich poświadczenia.

Ciekawym szczegółem jest to, że Bizarro faktycznie wyłącza wszystkie funkcje autouzupełniania formularzy w dowolnej przeglądarce, tak że użytkownik jest zmuszony do pełnego wpisania swoich danych logowania i podania pełnych ciągów do złośliwego oprogramowania, które następnie wysyła je do swojego serwera dowodzenia i kontroli.

Bizarro ma przerażający zakres złośliwych możliwości, które obejmują monitorowanie schowka i zastępowanie przekierowań transferów kryptowalut, zdalne sterowanie wejściami myszy i klawiatury, a także tworzenie fałszywych powiadomień wyskakujących.

Nie wiadomo, czy rozprzestrzenianie się trojana będzie kontynuowane na starym kontynencie.

May 19, 2021