Банковский троян Bizarro ищет жертв в Латинской Америке и Европе

Metamorfo Banking Trojan

Банковский троян Bizarro, иногда называемый Bizzaro, представляет собой угрозу, впервые появившуюся в Южной Америке. Однако сразу после нескольких месяцев активности в регионе операторы решили расширить свою деятельность, преследуя пострадавших в Европе. Последняя версия банковского троянца Bizarro способна атаковать более 70 уникальных банков и финансовых учреждений, действующих в обоих регионах.

Хотя многие из банковских троянцев, действующих в Латинской Америке, являются эксклюзивными для Android, Банковский троян Bizarro отличается. Основное внимание уделяется системам Windows, но вредоносное ПО также пытается доставить вредоносное программное обеспечение Android через поддельные всплывающие окна - вероятно, в попытке скомпрометировать мобильное устройство жертвы и получить доступ к кодам двухфакторной аутентификации.

Как правило, первый контакт между злоумышленниками и их жертвами происходит через вредоносное сообщение электронной почты, содержащее вложение файла. Преступники не пытались замаскировать полезную нагрузку - она представляет собой установщик MSI, который выдает себя за законное приложение. Обычно в таких кампаниях злоумышленники полагаются на файлы Microsoft Office, содержащие вредоносный скрипт.

Bizarro проверяет виртуальные среды и определенное программное обеспечение безопасности

После запуска Bizarro Banking Trojan будет собирать основные сведения о системе, такие как наличие антивирусного программного обеспечения, веб-браузер по умолчанию, версия Windows и имя компьютера. Чтобы подготовить скомпрометированную систему к атаке, она закроет все запущенные браузеры и разорвет соединение со всеми поддерживаемыми банковскими порталами. Не только это, но и отключение функции автозаполнения в браузере. Таким образом, вредоносная программа гарантирует, что жертве потребуется повторно ввести свое имя пользователя и пароль, когда она захочет получить доступ к своему счету в онлайн-банке.

Преступники могут отправить активному имплантату более 100 уникальных команд. Они служат для различных целей, например:

  • Отображение поддельных ошибок, предупреждений и предупреждений.
  • Отображение поддельного оверлея двухфакторной аутентификации.
  • Создайте поддельный запрос на загрузку и установку приложения для Android, которое обещает «повысить безопасность» - это вредоносный инструмент, предназначенный для извлечения кодов двухфакторной аутентификации.
  • Управляйте мышью и клавиатурой.
  • Загружайте / скачивайте и запускайте файлы.
  • Регистрируйте нажатия клавиш.
  • Перезагрузите или выключите компьютер, повредите Windows и многое другое.

Еще одна интересная особенность троянца Bizarro Banking - это его способность отслеживать буфер обмена в случае, если пользователь копирует биткойн-адрес. Если он обнаруживает строку, которая является действительным биткойн-адресом, троянец заменяет ее кошельком, принадлежащим злоумышленникам. Таким образом, они могут незаметно перенаправлять биткойн-транзакции.

Банковский троянец Bizarro использует очень изощренные стратегии социальной инженерии, чтобы завоевать доверие пользователей и заставить их выполнять действия, которые их банк никогда бы не попросил. Операторы банковских троянцев становятся все более скрытными и скрытными со своими атаками, и пользователи должны оставаться на шаг впереди них, инвестируя средства в надежное антивирусное программное обеспечение.

May 19, 2021