Bizarro Banking Trojan在拉丁美洲和歐洲尋找受害者
Bizarro Banking木馬,有時也稱為Bizzaro,是一種威脅,最早在南美出現。但是,在該地區活動幾個月後,其運營商選擇了通過追捕歐洲受害者的方式來擴大其業務。 Bizarro Banking Trojan的最新版本可以針對活躍在這兩個地區的70多家獨特的銀行和金融機構。
儘管在拉丁美洲活躍的許多銀行木馬都是Android專用的,但Bizarro銀行木馬卻有所不同。 Windows系統是其主要重點,但該惡意軟件還嘗試通過偽造的彈出窗口提供惡意的Android軟件-可能是在試圖破壞受害者的移動設備並獲得兩因素身份驗證代碼的訪問權限。
通常,攻擊者及其受害者之間的首次聯繫是通過包含文件附件的惡意電子郵件發生的。犯罪分子沒有做出任何努力掩蓋有效載荷-它是作為MSI安裝程序提供的,該安裝程序構成了合法的應用程序。通常,在此類活動中,犯罪分子依賴於帶有惡意腳本的Microsoft Office文件。
Bizarro檢查虛擬環境和特定的安全軟件
一旦執行,Bizarro Banking Trojan將收集基本的系統詳細信息,例如是否存在防病毒軟件,默認的Web瀏覽器,Windows版本以及計算機名稱。為了為受到攻擊的受害系統做好準備,它將關閉所有正在運行的瀏覽器並終止與所有受支持的銀行門戶的連接。不僅如此,它還將禁用瀏覽器的自動填充功能。這樣,惡意軟件可確保受害者在想要訪問其在線銀行帳戶時需要重新輸入其用戶名和密碼。
犯罪分子能夠向活動植入物發送100多個獨特的命令。這些服務有多種用途,例如:
- 顯示偽造的錯誤,警告和警報。
- 顯示偽造的兩因素身份驗證覆蓋。
- 產生偽造的提示,提示您下載並安裝Android應用,該應用承諾“增強安全性” –這是一種惡意工具,旨在提取兩因素身份驗證代碼。
- 控制鼠標和鍵盤。
- 上傳/下載並運行文件。
- 記錄擊鍵。
- 重新啟動或關閉計算機,損壞Windows等。
Bizarro銀行木馬的另一個有趣功能是它能夠監視剪貼板,以防用戶複製比特幣地址。如果檢測到字符串是有效的比特幣地址,則木馬會將其替換為攻擊者擁有的錢包。這樣,他們可以無聲地重定向比特幣交易。
Bizarro銀行木馬使用非常複雜的社交工程策略來贏得用戶的信任,並誘使他們執行其銀行永遠不會要求他們執行的操作。銀行木馬運營商的攻擊變得越來越隱蔽,用戶必須通過投資信譽良好的反惡意軟件來保持領先地位。