Brazylijski trojan bankowy Bizarro dociera przez Atlantyk
Według badaczy cyberbezpieczeństwa trojan bankowy Bizarro, pochodzący z Brazylii, przedostał się teraz za ocean i atakuje ofiary z Europy.
Bizarro to jeden z czterech dużych trojanów bankowych, które od jakiegoś czasu nękają kraje Ameryki Południowej. Czwórka jest znana jako Tetrade, a Bizarro jest jednym z bardziej znanych członków tej osławionej grupy.
Po tym, jak początkowo rozprzestrzenił się w Ameryce Południowej i zaczął atakować ofiary w krajach sąsiadujących z Brazylią, takich jak Chile i Argentyna, trojan bankowy przedostaje się teraz przez staw i zaraża ofiary w Portugalii, Hiszpanii, Francji i Włoszech.
Bizarro stosuje sprytne sztuczki socjotechniczne, aby zwabić swoje ofiary do nieświadomego zainstalowania szkodliwego oprogramowania. Zwykły łańcuch dystrybucji obejmuje złośliwe wiadomości spamowe, które zawierają pakiet instalatora MSI. E-maile udają, że pochodzą od organów podatkowych i zawierają ważne wiadomości, które stwarzają poczucie pilności w ofierze i zachęcają ją do otwarcia załączonych plików.
Po uruchomieniu instalator pobiera skompresowany plik z wcześniej zaatakowanej witryny internetowej, zwykle Amazon Web Services lub serwerów Azure. Bizarro wykorzystał również zhakowane domeny WordPress, aby pobrać swój ładunek z.
W pliku .zip znajduje się kilka komponentów przenoszących ładunek. Należą do nich plik .dll Delphi i skrypt, który może wywołać złośliwą funkcję wyodrębnioną z pliku .dll.
Po wdrożeniu trojan bankowy robi coś bardzo rzucającego się w oczy, ale zwykli użytkownicy mogą jeszcze nie być świadomi, że coś się dzieje. Bizarro zakończyłby wszystkie znalezione procesy przeglądarki i zmusiłby użytkownika do ponownego uruchomienia sesji. Gdy to się stanie, a użytkownik ponownie zaloguje się do usługi bankowej, złośliwe oprogramowanie przechwytuje ich poświadczenia.
Ciekawym szczegółem jest to, że Bizarro faktycznie wyłącza wszystkie funkcje autouzupełniania formularzy w dowolnej przeglądarce, tak że użytkownik jest zmuszony do pełnego wpisania swoich danych logowania i podania pełnych ciągów do złośliwego oprogramowania, które następnie wysyła je do swojego serwera dowodzenia i kontroli.
Bizarro ma przerażający zakres złośliwych możliwości, które obejmują monitorowanie schowka i zastępowanie przekierowań transferów kryptowalut, zdalne sterowanie wejściami myszy i klawiatury, a także tworzenie fałszywych powiadomień wyskakujących.
Nie wiadomo, czy rozprzestrzenianie się trojana będzie kontynuowane na starym kontynencie.