Bizarro本来是一个来自巴西的银行木马家族,但是目前它已经被传播到了世界各地。卡巴斯基的研究人员已经看到西班牙、葡萄牙、法国和意大利已经有用户被攻击了。现在已经有攻击者尝试从欧洲和南美不同国家的70家银行那里的窃取客户的凭证。与Tetrade类似,Bizarro正在利用分支机构或招募钱骡来实施他们的攻击,兑现或帮助转账。在本文中,研究人员分析了木马组件的技术特征,详细介绍了混淆技术、感染过程和随后的函数,以及攻击者用来说服受害者提供他们的个人网上银行信息的社会工程(诱骗)策略。
Bizarro具有x64模块,能够诱使用户在假弹出窗口中输入双因素验证码。它还可能使用社交工程来说服受害者下载智能手机应用程序。Bizzaro背后的组织使用Azure和Amazon(AWS)上托管的服务器以及受感染的WordPress服务器来存储恶意程序并收集追踪数据。
Bizarreland
Bizarro是通过受害者从垃圾邮件中的链接下载的MSI程序包传播的。启动后,Bizarro会从受感染的网站下载ZIP文件。在撰写本文时,卡巴斯基的研究人员看到被黑客攻击的WordPress,Amazon和Azure服务器用于存储档案。 MSI安装程序具有两个嵌入式链接,至于选择哪一个则取决于受害者的处理器体系结构。
Bizarro运营商发出的典型恶意信息
下载的ZIP压缩包包含以下文件:
· 用Delphi编写的恶意DLL;
· 一个合法的可执行文件,它是AutoHotkey脚本运行程序(在某些示例中,使用AutoIt代替了AutoHotkey);
· 一个小的脚本,它是从恶意DLL调用导出的函数;
DLL导出一个包含恶意代码的函数,恶意程序开发人员使用混淆处理技术使代码分析变得复杂。输出函数的代码已被保护程序删除。属于导出函数的字节在运行时由DLL入口点函数恢复,这个入口点函数非常混淆。用于复杂分析的技巧包括常量扩展和垃圾代码插入。对于恶意程序开发人员来说,他们正在不断改进二进制文件的保护。在Bizarro的早期版本中,只有入口点函数受到保护,而在最近的示例中,该保护程序也被用来混淆所导入的API函数的调用。
当Bizarro启动时,它首先会杀死所有浏览器进程,以终止与网上银行网站的任何现有会话。当用户重新启动浏览器时,他们将被迫重新输入银行账户凭证,该凭据将被恶意程序捕获。为了获得尽可能多的凭据,Bizarro采取的另一个步骤是禁用浏览器中的自动完成函数。
Bizarro会收集运行系统的以下信息:
· 计算机名称
· 操作系统版本
· 默认浏览器名称
· 已安装的杀毒程序程序名称
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
