巴西Bizarro银行木马遍及大西洋

据网络安全研究人员称,起源于巴西的Bizarro银行木马现已跨海而过,并瞄准了欧洲的受害者。

Bizarro是已经困扰南美国家一段时间的四大银行特洛伊木马之一。这四个被统称为Tetrade,而Bizarro是该臭名昭著的组织中最杰出的成员之一。

在最初扩散到南美并开始将目标对准邻近巴西的国家(如智利和阿根廷)的受害者之后,银行木马程序正遍及整个池塘,并感染了葡萄牙,西班牙,法国和意大利的受害者。

Bizarro使用巧妙的社交工程技巧来诱使其受害者不经意间安装恶意软件。通常的分发链包括包含MSI安装程序包的恶意垃圾邮件。这些电子邮件假装来自税务机关,并包含重要的消息,这些消息在受害者中产生了紧迫感,并诱使他们打开任何附件。

安装程序一旦执行,便会从以前被破坏的网站(通常是Amazon Web Services或Azure服务器)中获取压缩文件。 Bizarro还使用受损的WordPress域来获取其有效负载。

.zip文件中有几个承载有效载荷的组件。其中包括一个Delphi .dll文件和一个脚本,该脚本可以调用从.dll文件提取的恶意函数。

部署完成后,银行木马会做一些非常明显的事情,但普通用户可能尚未意识到正在发生的事情。 Bizarro将终止找到的所有浏览器进程,并强制用户重新启动会话。一旦发生这种情况,并且用户重新登录其银行服务,该恶意软件就会捕获其凭据。

一个奇怪的小细节是Bizarro实际上在任何浏览器中都禁用了所有表单自动完成功能,因此用户被迫完全键入其登录凭据并将完整的字符串输入恶意软件,然后将其发送到其命令和控制服务器。

Bizarro具有令人恐惧的一系列恶意功能,其中包括剪贴板监视和替换,用于重定向加密货币传输,对鼠标和键盘输入的远程控制以及创建虚假的弹出通知。

该木马病毒是否会继续在旧大陆传播还有待观察。

May 19, 2021