Brazilian Bizarro Banking Trojan når över Atlanten

Bizarro-banktrojanen, som har sitt ursprung i Brasilien, har nu tagit sig över havet och riktar sig till offer med säte i Europa, enligt cybersäkerhetsforskare.

Bizarro är en av de fyra stora banktrojanerna som har plågat sydamerikanska länder ett tag nu. De fyra är gemensamt kända som Tetrade, och Bizarro är en av de mer framstående medlemmarna i den ökända gruppen.

Efter att först ha spridit sig över Sydamerika och börjat rikta sig till offer i länder som gränsar till Brasilien, som Chile och Argentina, tar banken Trojan nu sin väg över dammen och infekterar offer i Portugal, Spanien, Frankrike och Italien.

Bizarro använder smarta sociala tekniska knep för att försöka locka sina offer till att installera skadlig kod oavsiktligt. Den vanliga distributionskedjan innehåller skadliga skräppostmeddelanden som innehåller ett MSI-installationspaket. E-postmeddelandena låtsas komma från skattemyndigheter och innehåller viktiga meddelanden som skapar en känsla av brådska hos offret och lockar dem att öppna eventuella bifogade filer.

Installatören, när den har körts, tar en komprimerad fil från en tidigare komprometterad webbplats, vanligtvis Amazon Web Services eller Azure-servrar. Bizarro har också använt komprometterade WordPress-domäner för att hämta nyttolasten från.

Det finns flera komponenter i .zip-filen som bär nyttolasten. Dessa inkluderar en Delphi. Dll-fil och ett skript som kan kalla en skadlig funktion som extraheras från. Dll-filen.

När den väl har distribuerats gör banktrojanen något mycket iögonfallande men vanliga användare kanske ännu inte är medvetna om att något händer. Bizarro skulle avsluta alla webbläsarprocesser som den hittar och tvinga användaren att starta om sessionen. När detta händer och användaren loggar in på sin banktjänst fångar skadlig programvara sina referenser.

En märklig liten detalj är att Bizarro faktiskt inaktiverar alla former av autofullständiga funktioner i vilken webbläsare som helst, så att användaren tvingas skriva ut sina inloggningsuppgifter och mata in alla strängar i skadlig programvara, som sedan skickar dem till sin kommando- och styrserver.

Bizarro har ett fruktansvärt utbud av skadliga funktioner som inkluderar urklippsövervakning och ersättning för omdirigering av kryptovalutaöverföringar, fjärrkontroll av både mus- och tangentbordsingångar samt skapar falska popup-meddelanden.

Huruvida trojans spridning kommer att fortsätta på den gamla kontinenten återstår att se.

May 19, 2021