70家欧洲和南美银行受到Bizarro银行恶意软件的攻击

一个以财务为动机的网络犯罪团伙释放了一个以前没有记录的银行特洛伊木马，该木马可以从位于欧洲和南美各国的70家银行的客户那里窃取凭证。

被卡巴斯基研究人员称为“Bizarro”的Windows恶意软件“利用分支机构或招募资金骡子来实施攻击、套现或只是帮助[原文如此]转账。”

该活动由多个活动部分组成，其中最主要的部分是能够诱骗用户在假弹出窗口中输入双因素身份验证码，然后发送给攻击者，以及依靠社交工程诱饵说服银行网站的访问者下载恶意智能手机应用。

Bizarro使用受损的WordPress、亚马逊和Azure服务器托管恶意软件，通过受害者从垃圾邮件中粗略链接下载的MSI软件包分发。启动该软件包将下载一个ZIP存档，其中包含一个用Delphi编写的DLL，该DLL随后将注入经过严重混淆的植入程序。更重要的是，后门的主模块被配置为保持空闲，直到它检测到一个硬编码网上银行系统的连接。

研究人员说：“Bizarro启动时，首先会关闭所有浏览器进程，以终止与网上银行网站的任何现有会话。”。“当用户重新启动浏览器时，他们将被迫重新输入银行帐户凭据，该凭据将被恶意软件捕获。Bizaro为了获得尽可能多的凭据而采取的另一个步骤是在浏览器中禁用自动完成。”

虽然特洛伊木马的主要功能是捕获和过滤银行凭证，但后门被设计为从远程服务器执行100条命令，使其能够从Windows机器上获取各种信息，控制受害者的鼠标和键盘，记录击键，捕获屏幕截图，甚至限制了Windows的功能。

Bizarro只是巴西银行特洛伊木马越来越多地影响Windows和Android设备的最新例子，加入了Guildma、Javali、Melcoz、Grandoreiro（统称为Tetrade）、Amavaldo、Ghimob和BRATA等恶意软件，同时在南美和欧洲扩大他们的受害者足迹。

研究人员说：“这场运动背后的威胁参与者正在采用各种技术方法，使恶意软件的分析和检测复杂化，并采用社会工程技巧，帮助说服受害者提供与其网上银行账户相关的个人数据。”。