Бразильский банковский троян Bizarro пересекает Атлантику

По словам исследователей кибербезопасности, банковский троян Bizarro, происходящий из Бразилии, теперь пересек океан и нацелен на жертв, базирующихся в Европе.

Bizarro - один из четырех крупных банковских троянцев, которые уже некоторое время преследуют страны Южной Америки. Все четыре вместе известны как Тетрейд, и Бисарро - один из наиболее известных членов этой печально известной группы.

Первоначально распространившись по Южной Америке и начав нацеливаться на жертв в странах, прилегающих к Бразилии, таких как Чили и Аргентина, банковский троян теперь пробирается через пруд и заражает жертв в Португалии, Испании, Франции и Италии.

Bizarro использует хитроумные приемы социальной инженерии, чтобы заставить своих жертв невольно установить вредоносное ПО. Обычная цепочка распространения включает вредоносные спам-сообщения, содержащие установочный пакет MSI. Электронные письма якобы исходят от налоговых органов и содержат важные сообщения, которые вызывают у жертвы ощущение срочности и побуждают ее открыть любые прикрепленные файлы.

После запуска программа установки берет сжатый файл с ранее взломанного веб-сайта, обычно это Amazon Web Services или серверы Azure. Bizarro также использовал взломанные домены WordPress для получения полезной нагрузки.

Внутри ZIP-файла есть несколько компонентов, которые содержат полезную нагрузку. К ним относятся файл .dll Delphi и сценарий, который может вызывать вредоносную функцию, извлеченную из файла .dll.

После развертывания банковский троянец делает что-то очень заметное, но обычные пользователи могут еще не осознавать, что что-то происходит. Bizarro завершит все процессы браузера, которые он найдет, и заставит пользователя перезапустить сеанс. Как только это произойдет, и пользователь повторно войдет в свою банковскую службу, вредоносная программа перехватит его учетные данные.

Любопытная деталь заключается в том, что Bizarro фактически отключает все функции автозаполнения форм в любом браузере, так что пользователь вынужден полностью вводить свои учетные данные для входа и вводить полные строки в вредоносную программу, которая затем отправляет их на свой командный и контрольный сервер.

Bizarro обладает пугающим набором вредоносных возможностей, включая мониторинг буфера обмена и замену перенаправления переводов криптовалюты, удаленное управление вводом с клавиатуры и мыши, а также создание поддельных всплывающих уведомлений.

Еще неизвестно, продолжится ли распространение троянца на старом континенте.