Cavalo de Troia Bizarro Banking busca vítimas na América Latina e na Europa

Metamorfo Banking Trojan

O Trojan Bizarro Banking, às vezes chamado de Bizzaro, é uma ameaça que surgiu pela primeira vez na América do Sul. Porém, logo após alguns meses de atividade na região, seus operadores optaram por expandir sua atuação perseguindo vítimas na Europa. A mais recente iteração do cavalo de Troia Bizarro Banking é capaz de atingir mais de 70 bancos e instituições financeiras exclusivas ativas em ambas as regiões.

Embora muitos dos Trojans bancários ativos na América Latina sejam exclusivos para Android, o Trojan Bizarro Banking é diferente. Os sistemas Windows são seu foco principal, mas o malware também tenta entregar software malicioso Android por meio de pop-ups falsos - provavelmente em uma tentativa de comprometer o dispositivo móvel da vítima e obter acesso a códigos de autenticação de dois fatores.

Normalmente, o primeiro contato entre os invasores e suas vítimas ocorre por meio de uma mensagem de e-mail mal-intencionada, que contém um anexo de arquivo. Os criminosos não fizeram nenhum esforço para mascarar a carga útil - ela vem como um instalador MSI, que se apresenta como um aplicativo legítimo. Normalmente, nessas campanhas, os criminosos contam com arquivos do Microsoft Office que contêm um script malicioso.

Bizarro verifica ambientes virtuais e softwares de segurança específicos

Uma vez executado, o Trojan Bizarro Banking reunirá detalhes básicos do sistema, como a presença de software antivírus, navegador da Web padrão, versão do Windows e o nome do computador. Para preparar o sistema comprometido para o ataque, ele fechará todos os navegadores em execução e encerrará a conexão com todos os portais bancários suportados. Não apenas isso, mas também desativará o recurso de preenchimento automático do navegador. Dessa forma, o malware garante que a vítima precisará inserir novamente seu nome de usuário e senha quando quiser acessar sua conta bancária online.

Os criminosos são capazes de enviar mais de 100 comandos exclusivos para o implante ativo. Eles servem a vários propósitos, como:

  • Exibindo erros, avisos e alertas falsos.
  • Exibindo uma sobreposição de autenticação falsa de dois fatores.
  • Gerar um prompt falso para baixar e instalar um aplicativo Android, que promete 'aumentar a segurança' - é uma ferramenta maliciosa destinada a extrair códigos de autenticação de dois fatores.
  • Controle o mouse e o teclado.
  • Faça upload / download e execute arquivos.
  • Registre as teclas digitadas.
  • Reinicie ou desligue o computador, danifique o Windows e muito mais.

Outra característica interessante do Trojan Bizarro Banking é a capacidade de monitorar a área de transferência no caso de o usuário copiar um endereço Bitcoin. Se detectar uma string que é um endereço Bitcoin válido, o cavalo de Tróia a substituirá por uma carteira de propriedade dos invasores. Dessa forma, eles podem redirecionar silenciosamente as transações de Bitcoin.

O cavalo de Troia Bizarro Banking usa estratégias de engenharia social muito sofisticadas para ganhar a confiança do usuário e induzi-lo a realizar ações que seu banco nunca pediria. Os operadores de cavalos de Tróia bancários estão se tornando cada vez mais furtivos com seus ataques, e os usuários devem estar um passo à frente deles, investindo em software anti-malware de boa reputação.

May 19, 2021