Bizarro最初是来自巴西的银行木马家族,现已遍布全球。卡巴斯基研究人员发现西班牙、葡萄牙、法国和意大利的用户已经受到攻击。攻击者已经试图从欧洲和南美洲不同国家的70家银行窃取客户凭证。与Tetrade类似,Bizarro正在使用附属机构或招募钱骡来进行攻击、兑现或促进转账。在本文中,研究人员分析了木马组件的技术特征,详细介绍了混淆技术、感染过程和后续功能,以及攻击者使用的社会工程(诱饵)策略来说服受害者提供其个人网上银行信息。Bizarro有一个x64模块,能够诱骗用户在虚假的弹出窗口中输入双因素身份验证代码。它还可能使用社会工程学来说服受害者下载智能手机应用程序。Bizzaro背后的组织使用托管在Azure和亚马逊(AWS)上的服务器以及受感染的WordPress服务器来存储恶意程序和收集跟踪数据。BizarrelandBizarro通过MSI包传播,受害者从垃圾邮件中的链接下载这些包。启动后,Bizarro从受感染的网站下载ZIP文件。在撰写本文时,卡巴斯基研究人员发现被黑客入侵的WordPress、Amazon和Azure服务器用于存储档案。MSI安装程序有两个嵌入式链接,选择哪一个取决于受害者的处理器架构。来自Bizarro运营商的典型恶意消息下载的ZIP存档包含以下文件:用Delphi编写的恶意DLL;作为AutoHotkey脚本运行程序的合法可执行文件(在某些示例中,使用AutoIt而不是AutoHotkey);从恶意DLL调用导出函数的小脚本;DLL导出包含恶意代码的函数,恶意程序开发者使用混淆技术使代码分析复杂化。输出函数的代码已被保护程序删除。属于导出函数的字节在运行时由DLL入口点函数恢复,这非常令人困惑。复杂分析的技巧包括不断扩展和垃圾代码插入。对于恶意程序开发者来说,他们也在不断完善对二进制文件的保护。在Bizarro的早期版本中,只有入口点函数受到保护,而在最近的示例中,此保护器还用于混淆对导入的API函数的调用。当Bizarro启动时,它首先会终止所有浏览器进程,以终止与在线银行网站的任何现有会话。当用户重新启动浏览器时,他们将被迫重新输入他们的银行帐户凭据,这些凭据将被恶意程序捕获。为了获得尽可能多的凭据,Bizarro采取的另一个步骤是禁用浏览器中的自动完成功能。Bizarro收集有关运行系统的以下信息:计算机名称;操作系统版本;默认浏览器名称;安装的防病毒程序名称;Bizarro使用'Mozilla/4.0(兼容;MSIE6.0;WindowsNT5.0')用户代理。那个useragent有错别字:compatibility后面应该有个空格符号;缺少子字符串和右括号。研究表明,该漏洞在最新版本中并未得到修复。此后,Bizarro在%userprofile%目录中创建一个空文件,从而将系统标记为已感染。文件名是脚本运行程序(AutoIt或AutoHotKey)的名称,添加了.jkl扩展名。将数据发送到监控服务器后,Bizarro初始化了截屏模块。它加载magnification.dll库并获取已弃用的MagSetImageScalingCallbackAPI函数的地址。在它的帮助下,木马会捕获用户的屏幕并持续监控系统剪贴板中的比特币钱包地址。如果找到,它将被恶意软件开发者的钱包取代。这个后门是Bizarro的核心组件:它包含100多个命令,允许攻击者窃取网上银行帐户凭据。大多数命令用于向用户显示虚假的弹出消息。在Bizarro检测到与其中一个硬编码在线银行系统的连接之前,后门的核心组件不会启动。恶意程序通过枚举所有窗口并收集它们的名称来做到这一点。从窗口名称字符串中删除空格字符、重音字母(如?或á)和非字母符号(如破折号)。如果窗口名称与其中一个硬编码字符串匹配,后门将继续启动。后门做的第一件事是通过执行ipconfig/flushdns命令删除DNS缓存。这样做是为了防止连接到被阻止的IP。之后,恶意程序将域名解析为IP地址,创建套接字并将其绑定到解析后的地址。如果连接成功,它将创建%userprofile%\bizarro.txt文件。后门及其C2Bizarro从其C2接收的命令可分为以下几类:(1)允许C2操作员获取受害者数据和管理连接状态的命令。(2)允许攻击者控制受害者硬盘驱动器上文件的命令。(3)允许攻击者控制用户鼠标和键盘的命令。在carmena命令的帮助下,Bizarro还可以操纵用户的键盘(用户实际键入的内容)。(4)允许攻击者控制后门操作,关闭、重启或破坏操作系统,限制Windows功能的命令。LkingWajuGhkzwu命令关闭后门,而vkbAlcvtlY命令将BAT文件拖放到工作目录中。批处理脚本负责从磁盘中删除恶意程序。(5)记录击键命令。Bizarro支持两个负责键盘记录的命令,COZUMEL命令启动记录过程,COZUMARIA命令停止它。(6)命令执行社会工程攻击。这些命令会显示各种消息来诱骗用户让攻击者访问银行帐户。显示的消息类型从简单的消息框到带有银行日志的精心制作的窗口,可以诱使人们认为这是真实的网站。研究人员将首先描述显示Windows消息框的命令。dkxqdpdv命令显示一条错误消息,内容为“输入的数据不正确,请重试。”Bizarro显示一条消息,告诉用户再次输入请求的数据。vanessa命令显示一条错误消息,告诉用户输入确认。为了进一步向用户保证所有行为都是合法的,恶意软件会显示RUT(RolúnicoTributario,智利身份证号码)和之前提供的值。该消息包含以下文本:要求用户输入确认码的错误消息LMAimwc命令显示另一条错误消息,这次告诉用户他们的计算机需要重新启动才能完成与安全相关的操作。Bizarro显示的文本如下:将出现一条错误消息,告诉用户操作系统将重新启动包含银行徽标和受害者应遵循的说明。这些图像以加密方式存储在用户配置文件目录中。在消息中使用图像之前,必须使用多字节XOR算法对其进行解密,并且由于消息是从C2服务器下载的,因此只能在受害者的计算机上找到它们。Bizarro可能显示的第一种自定义消息会冻结受害者的计算机,给攻击者一些时间。当收到显示此类消息的命令时,任务栏隐藏,屏幕变灰,并显示消息本身。显示消息时,用户无法关闭它或打开任务管理器。该消息本身告诉用户系统已受到威胁,因此需要更新,或者正在安装安全和浏览器性能组件。此类消息还包括随时间变化的进度条。下图显示了这些消息在受害者屏幕上的样子,消息是用西班牙语写的:不用担心“安全更新”期间发生的任何事情,因为它们只是在确认客户的身份。这使客户端更有信心批准攻击者请求的所有内容。通知用户他们的系统已被破坏Bizarro还试图引诱受害者向攻击者发送双因素身份验证代码。研究人员看到的另一个有趣的功能是试图说服受害者在他们的智能手机上安装恶意应用程序,它使用以下窗口来确定移动操作系统的类型:Bizarro要求用户选择他们智能手机的操作系统如果受害者选择Android,C2服务器将向客户端发送带有恶意应用程序的链接。客户端会借助GoogleChartsAPI制作一个二维码,然后发送一个带有以下参数的请求:http://chart.apis.google.com/chart?chs=x&cht=qr&chld=&chl=然后,获得两个二维码后会在窗口中显示如下文字:Bizarro要求用户扫描二维码Bizarro使用的是基于受支持银行的列表,Bizarro背后的攻击者针对的是来自欧洲和南美各家银行的客户。根据研究人员的监测技术,研究人员在巴西、阿根廷、智利、德国、西班牙、葡萄牙、法国和意大利等多个国家发现了Bizarro受害者。这些数字再次证实,Bizarro运营商已将他们的兴趣从巴西扩大到南美和欧洲的其他国家。Bizarro过去12个月的传播总结最近,卡巴斯基研究人员发现一些南美银行木马(例如Guildma、Javali、Melcoz、Grandoreiro和Amavaldo)将其活动扩展到其他地区,主要是欧洲。Bizarro是一种新的攻击活动。该活动背后的攻击者正在使用各种技术方法来复杂化恶意软件分析和检测,以及可以帮助说服受害者提供与其网上银行账户相关的个人数据的社会工程技巧。研究人员将这个家族命名为Trojan-Banker.Win32.Bizarro或Trojan-Banker.Win64.Bizarro,更多信息请访问http://xtraining.kaspersky.com。本文翻译自:https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/
