巴西Bizarro银行木马遍及大西洋

据网络安全研究人员称，起源于巴西的Bizarro银行木马现已跨海而过，并瞄准了欧洲的受害者。

Bizarro是已经困扰南美国家一段时间的四大银行特洛伊木马之一。这四个被统称为Tetrade，而Bizarro是该臭名昭著的组织中最杰出的成员之一。

在最初扩散到南美并开始将目标对准邻近巴西的国家（如智利和阿根廷）的受害者之后，银行木马程序正遍及整个池塘，并感染了葡萄牙，西班牙，法国和意大利的受害者。

Bizarro使用巧妙的社交工程技巧来诱使其受害者不经意间安装恶意软件。通常的分发链包括包含MSI安装程序包的恶意垃圾邮件。这些电子邮件假装来自税务机关，并包含重要的消息，这些消息在受害者中产生了紧迫感，并诱使他们打开任何附件。

安装程序一旦执行，便会从以前被破坏的网站（通常是Amazon Web Services或Azure服务器）中获取压缩文件。 Bizarro还使用受损的WordPress域来获取其有效负载。

.zip文件中有几个承载有效载荷的组件。其中包括一个Delphi .dll文件和一个脚本，该脚本可以调用从.dll文件提取的恶意函数。

部署完成后，银行木马会做一些非常明显的事情，但普通用户可能尚未意识到正在发生的事情。 Bizarro将终止找到的所有浏览器进程，并强制用户重新启动会话。一旦发生这种情况，并且用户重新登录其银行服务，该恶意软件就会捕获其凭据。

一个奇怪的小细节是Bizarro实际上在任何浏览器中都禁用了所有表单自动完成功能，因此用户被迫完全键入其登录凭据并将完整的字符串输入恶意软件，然后将其发送到其命令和控制服务器。

Bizarro具有令人恐惧的一系列恶意功能，其中包括剪贴板监视和替换，用于重定向加密货币传输，对鼠标和键盘输入的远程控制以及创建虚假的弹出通知。

该木马病毒是否会继续在旧大陆传播还有待观察。