Троянският троянски Bizarro нараства в цяла Европа

Троянският банков троянец Bizarro е насочен към клиенти на поне 70 банки, докато се движи от бразилската си база към Европа.

Тази седмица, изследователи на Kaspersky каза троянският вариант, с произход от Бразилия – както изглежда много хора – сега порази потребителите не само в Бразилия, но и в Аржентина, Чили, Испания, Португалия, Франция и Италия, като клиентите на банки в тези райони са привлечени да предават своите идентификационни данни за сметка за целите на финансова кражба.

Веригата на атаките обаче не е чисто цифрова, тъй като паричните мулета се използват в края на успешен компромис за осребряване на средства или прехвърляне на откраднати пари.

Банковият троянец, оприличен на “Тетрейд“семейство от четири щама, които се разпространяват в Бразилия, се разпространява чрез спам имейли, съдържащи MSI инсталационен пакет.

Социалното инженерство се извършва, за да се опита да заблуди потенциалните жертви да приемат и изпълнят инсталатора, включително чрез съобщения, представящи се за данъчни уведомления и сигнали.

След като стартира, инсталационната програма изтегля .ZIP архив, извлечен от компрометиран уебсайт или сървър. Изследователите са открили Azure и AWS сървъри, които са били използвани за хостване на злонамерения софтуер, заедно с отвлечени WordPress домейни.

Архивът съдържа злонамерен .DLL, написан в Delphi, изпълним файл за изпълнение на скрипт AutoHotkey и скрипт, който извиква експортирана функция от .DLL. Тази функция, която е скрита, съдържа зловредния код, необходим за задействане на банковия троянски кон.

При стартиране Bizarro ще унищожи съществуващите процеси на браузъра, включително всички активни сесии с онлайн банкиране. Веднага след като жертвата рестартира сесията си, банковите идентификационни данни се улавят тихо от зловредния софтуер и се изпращат на сървъра за командване и управление (C2) на нападателя.

За да подобри шансовете за улавяне на тези ценни данни, Bizarro също деактивира функцията за автоматично довършване в браузър.

На потребителите се показват и фалшиви изскачащи прозорци, някои от които са съобразени да се показват като съобщения от онлайн банкиране, предупреждаващи за актуализации на сигурността или компрометиране на компютъра. Тези изскачащи прозорци могат да замразят компютрите и да скрият лентите на задачите, като в същото време изискват проверки на самоличността от клиента.

Тук влиза в действие атака от втори етап. Съобщенията ще се опитат да привлекат жертвите да подават кодове за двуфакторна автентификация (2FA) – когато тази мярка за сигурност е активирана – като ги помолят да изтеглят злонамерено приложение за смартфон и сканират QR код за целите на „удостоверяване“.

Злонамереният софтуер ще улавя информация за операционната система и също така е в състояние да извършва заснемане на екрана, регистриране на ключове и ще наблюдава клипбордите за адреси на портфейла на криптовалутата.

Ако такива бъдат открити, адресите на портфейла се заменят с тези, притежавани от участниците в заплахата с надеждата, че жертвата може неволно да прехвърли криптовалута.

Като троянец, Bizarro съдържа и функционалност на задната врата, която управлява връзката C2.

Това не е единственият банков троянец от Бразилия, който се е разширил и в други региони. Сега, присъединявайки се към подобни на Guildma, Javali, Melcoz и Grandoreiro, се очаква операторите да продължат да удрят целите в множество държави, както и да продължат да подобряват своя зловреден софтуер с течение на времето.


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com