Bizarro Banking Trojan在拉丁美洲和欧洲寻找受害者
Bizarro Banking木马,有时也称为Bizzaro,是一种威胁,最早在南美出现。但是,在该地区活动几个月后,其运营商选择了通过追捕欧洲受害者的方式来扩大其业务。 Bizarro Banking Trojan的最新版本可以针对活跃在这两个地区的70多家独特的银行和金融机构。
尽管在拉丁美洲活跃的许多银行木马都是Android专用的,但Bizarro银行木马却有所不同。 Windows系统是其主要重点,但该恶意软件还尝试通过伪造的弹出窗口提供恶意的Android软件-可能是在试图破坏受害者的移动设备并获得两因素身份验证代码的访问权限。
通常,攻击者及其受害者之间的首次联系是通过包含文件附件的恶意电子邮件发生的。犯罪分子没有做出任何努力掩盖有效载荷,它是作为MSI安装程序提供的,该安装程序构成了合法的应用程序。通常,在此类活动中,犯罪分子依赖于带有恶意脚本的Microsoft Office文件。
Bizarro检查虚拟环境和特定的安全软件
一旦执行,Bizarro Banking Trojan将收集基本系统详细信息,例如是否存在防病毒软件,默认的Web浏览器,Windows版本以及计算机名称。为了使受到攻击的系统做好准备,它将关闭所有正在运行的浏览器并终止与所有受支持的银行门户的连接。不仅如此,它还将禁用浏览器的自动填充功能。这样,恶意软件可确保受害者在想要访问其在线银行帐户时需要重新输入其用户名和密码。
犯罪分子能够向活动植入物发送100多个独特的命令。这些服务有多种用途,例如:
- 显示伪造的错误,警告和警报。
- 显示伪造的两因素身份验证覆盖。
- 产生伪造的提示,提示您下载并安装Android应用,该应用承诺“增强安全性”,这是一种旨在提取两因素身份验证代码的恶意工具。
- 控制鼠标和键盘。
- 上传/下载并运行文件。
- 记录击键。
- 重新启动或关闭计算机,损坏Windows等。
Bizarro银行木马的另一个有趣功能是它能够监视剪贴板,以防用户复制比特币地址。如果检测到一个有效的比特币地址字符串,该木马将用攻击者拥有的钱包替换它。这样,他们可以无声地重定向比特币交易。
Bizarro银行木马使用非常复杂的社交工程策略来获得用户的信任,并诱使他们执行其银行永远不会要求他们执行的操作。银行木马运营商的攻击变得越来越隐蔽,用户必须通过投资信誉良好的反恶意软件来保持领先地位。