研究人员已经发现了一个新的银行木牌,已被发现针对欧洲和南美银行的客户。他们被称为新的木马比扎罗.
Bizarro如何传播?
该恶意软件通过微软安装程序(MSI)软件包传播。到目前为止,已确认的来源是垃圾邮件,攻击者还可能使用社交工程说服受害者下载智能手机应用程序。专家已经在巴西、阿根廷、智利、德国、西班牙、葡萄牙、法国和意大利检测到感染。Bizarro使用被攻击的WordPress、亚马逊和Azure服务器来托管MSI包,受害者会被骗下载这些包。
比扎罗能做什么?
Bizarro拥有相当多的伎俩:
- 它可以捕获在银行网站上输入的登录凭据。据报道,为了加快这个过程,它会关闭你现有的浏览器窗口,所以你被迫登录。Bizarro还制作虚假提示以获取2FA密码。
- Bizarro不断监控剪贴板,并将替换其自己在那里找到的任何比特币地址(希望课程捕获应该支付到原始地址的任何转移)。
- 最后,但同样重要的是,它是一个成熟的后门,一旦用户访问一组硬编码的银行网站,它就会被激活。
后门为攻击者提供了大量选择,包括:
- 收集有关被感染系统的数据,然后发送给中华商务服务器.
- 搜索并从受感染的电脑中窃取文件。
- 在受影响的系统上丢弃文件(例如其他恶意软件)。
- 遥控鼠标和键盘。
- Keylogging.
- 创建虚假弹出窗口和消息。消息旨在减慢用户的响应时间并包括进度条。
- 在飞行中模拟银行网站。
目标
与其他许多源自巴西的银行业木马一样,比扎罗的重点是欧洲和南美的银行。现在已经有人试图窃取来自欧洲和南美不同国家的70家银行客户的证书。
除了将恶意软件安装到系统上的明显受害者,Bizarro也在使用钱骡实施他们的攻击,兑现,或仅仅帮助转移。这些钱贩子通常在入狱前都有短暂的犯罪生涯。
缓解和检测
始终是最重要的建议是不要点击来自不确定来源的链接。还要注意您系统上的意外行为。特别是在银行业务时,最好看奇怪的行为,而不是假设它的窗户表演。并在发送资金之前,请仔细检查目的地比特币地址。(这是在所有情况下的好建议:这不是唯一使用剪贴板来替换比特币地址的恶意软件,并且没有比特币的DO-SIMS!)
下载的ZIP文件包含以下文件:
- 用Delphi编写的恶意DLL
- 一个合法的可执行文件,即autohotkey脚本runner(在某些样本中使用autoit而不是autohotkey)
- 一个小脚本,调用来自恶意DLL的导出功能
Malwarebytes的机器学习模块检测DL必威平台APPL。
保持安全,大家好!
评论