巴西Bizarro銀行木馬遍及大西洋

據網絡安全研究人員稱,起源於巴西的Bizarro銀行木馬現已跨海而過,並瞄準了歐洲的受害者。

Bizarro是已經困擾南美國家一段時間的四大銀行特洛伊木馬之一。這四個被統稱為Tetrade,而Bizarro是該臭名昭著的組織中最傑出的成員之一。

在最初擴散到南美並開始將目標對準鄰近巴西的國家(如智利和阿根廷)的受害者之後,銀行木馬程序正遍及整個池塘,並感染了葡萄牙,西班牙,法國和意大利的受害者。

Bizarro使用巧妙的社交工程技巧來誘使其受害者不經意間安裝惡意軟件。通常的分發鏈包括包含MSI安裝程序包的惡意垃圾郵件。這些電子郵件假裝來自稅務機關,並包含重要的消息,這些消息在受害者中產生了緊迫感,並誘使他們打開任何附件。

安裝程序一旦執行,便會從以前被破壞的網站(通常是Amazon Web Services或Azure服務器)中獲取壓縮文件。 Bizarro還使用受損的WordPress域來獲取其有效負載。

.zip文件中有幾個承載有效載荷的組件。其中包括一個Delphi .dll文件和一個腳本,該腳本可以調用從.dll文件提取的惡意函數。

部署完成後,銀行木馬會做一些非常明顯的事情,但普通用戶可能尚未意識到正在發生的事情。 Bizarro將終止找到的所有瀏覽器進程,並強制用戶重新啟動會話。一旦發生這種情況,並且用戶重新登錄其銀行服務,該惡意軟件就會捕獲其憑據。

一個奇怪的小細節是Bizarro實際上在任何瀏覽器中都禁用了所有表單自動完成功能,因此用戶被迫完全鍵入其登錄憑據並將完整的字符串輸入惡意軟件,然後將其發送到其命令和控制服務器。

Bizarro具有一系列可怕的惡意功能,其中包括剪貼板監視和替換,用於重定向加密貨幣傳輸,對鼠標和鍵盤輸入的遠程控制以及創建假彈出通知。

該木馬病毒是否會繼續在舊大陸傳播還有待觀察。

May 19, 2021