Bizarro Banking Trojan letar efter offer i Latinamerika och Europa

Metamorfo Banking Trojan

Bizarro Banking Trojan, ibland kallad Bizzaro, är ett hot som först uppstod i Sydamerika. Men strax efter några månaders aktivitet i regionen valde operatörerna att utöka sin verksamhet genom att ta hand om offer i Europa. Den senaste iterationen av Bizarro Banking Trojan kan rikta sig till över 70 unika banker och finansinstitut som är aktiva i båda regionerna.

Även om många av de banktrojaner som är aktiva i Latinamerika är exklusiva för Android, är Bizarro Banking Trojan annorlunda. Windows-system är dess primära fokus, men skadlig kod försöker också leverera skadlig Android-programvara via falska popup-fönster - troligen i ett försök att kompromissa offrets mobila enhet och få tillgång till tvåfaktorautentiseringskoder.

Vanligtvis sker den första kontakten mellan angriparna och deras offer via ett skadligt e-postmeddelande, som innehåller en filbilaga. Brottslingarna har inte gjort några ansträngningar för att maskera nyttolasten - den kommer som en MSI-installatör, vilket utgör en legitim app. I sådana kampanjer förlitar sig brottslingarna vanligtvis på Microsoft Office-filer som innehåller ett skadligt skript.

Bizarro kontrollerar virtuella miljöer och särskild säkerhetsprogramvara

När den har körts samlar Bizarro Banking Trojan grundläggande systemdetaljer som förekomsten av antivirusprogram, standardwebbläsare, Windows-version och datorns namn. För att förbereda det komprometterade systemet för attacken stänger det alla pågående webbläsare och avslutar anslutningen till alla bankportaler som stöds. Inte bara detta, men det kommer också att inaktivera webbläsarens autofyllfunktion. På så sätt säkerställer skadlig programvara att offret måste ange sitt användarnamn och lösenord igen när de vill komma åt sitt online bankkonto.

Brottslingarna kan skicka över 100 unika kommandon till det aktiva implantatet. Dessa tjänar olika syften såsom:

  • Visar falska fel, varningar och varningar.
  • Visar ett falskt tvåfaktors autentiseringsöverlägg.
  • Skapa en falsk uppmaning att ladda ner och installera en Android-app, som lovar att 'förbättra säkerheten' - det är ett skadligt verktyg som är tänkt att extrahera tvåfaktorautentiseringskoder.
  • Kontrollera musen och tangentbordet.
  • Ladda upp / ladda ner och kör filer.
  • Logga tangenttryckningar.
  • Starta om eller stäng av datorn, skada Windows och mer.

En annan intressant egenskap hos Bizarro Banking Trojan är dess förmåga att övervaka klippbordet om användaren kopierar en Bitcoin-adress. Om den upptäcker en sträng som är en giltig Bitcoin-adress, ersätter Trojan den med en plånbok som ägs av angriparna. På så sätt kan de tyst omdirigera Bitcoin-transaktioner.

Bizarro Banking Trojan använder mycket sofistikerade socialtekniska strategier för att få användarens förtroende och lura dem att utföra åtgärder som deras bank aldrig skulle be dem att göra. Bank Trojan-operatörer blir smygare och smygare med sina attacker, och användare måste ligga ett steg före dem genom att investera i ansedd antiprogramvara.

May 19, 2021