Bizarro banking特洛伊木马已经锁定了至少70家银行的客户,因为它正在从巴西基地转移到欧洲。
本周,卡巴斯基研究人员https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>表示特洛伊木马变种,原产于巴西https://www.zdnet.com/article/banking-trojan-evolves-from-distribution-through-porn-to-sophisticated-phishing-schemes/“target=”\u blank“>许多人似乎做到了——现在不仅在巴西,而且在阿根廷、智利、西班牙、葡萄牙、法国和意大利都吸引了用户,这些地区的银行客户被诱骗交出其账户凭证,以达到盗窃金融的目的。
然而,攻击链并不是纯数字的,因为在成功的妥协结束时,会使用金钱骡子来套现资金或转移赃款
银行特洛伊木马,类似于“Tetrade“四个菌株家族在巴西肆虐,通过包含MSI安装程序包的垃圾邮件分发。
执行社会工程是为了试图欺骗潜在的受害者接受并执行安装程序,包括假装是税务通知和警报的消息。
一旦启动,安装程序将下载从受损网站或服务器获取的.ZIP存档。研究人员发现了用于托管恶意软件的Azure和AWS服务器,以及被劫持的WordPress域。
存档文件包含一个用Delphi编写的恶意.DLL、一个自动热键脚本运行程序可执行文件和一个从.DLL调用导出函数的脚本。此函数经过模糊处理,包含触发银行特洛伊木马程序所需的恶意代码。
在启动时,Bizarro将关闭现有的浏览器进程,包括任何与网上银行服务的活动会话。一旦受害者重新启动会话,恶意软件就会悄悄地捕获银行凭据,并将其发送到攻击者的命令和控制(C2)服务器。
为了提高捕获这些有价值数据的机会,Bizarro还禁用了浏览器中的自动完成功能。
假弹出窗口也会显示给用户,其中一些是定制的,显示为来自网上银行服务的消息,警告安全更新或PC泄露。这些弹出窗口可能冻结PC并隐藏任务栏,同时请求客户端进行身份检查。
这是第二阶段进攻的开始。这些信息将试图诱使受害者提交双因素身份验证(2FA)码——当这个安全措施启用时——要求他们下载恶意的智能手机应用程序,并扫描二维码进行“身份验证”。
该恶意软件将捕获操作系统信息,还能够执行屏幕捕获、键盘记录,并监控剪贴簿上的加密货币钱包地址。
如果检测到任何钱包地址,钱包地址将替换为威胁参与者拥有的地址,希望受害者可能无意中转移加密货币。
作为特洛伊木马,Bizarro还包含管理C2连接的后门功能。
这不是唯一一个从巴西扩展到其他地区的银行特洛伊木马。现在amazon延长使用rekognition面部识别技术的警察禁令,看不到尽头
