lunedì 24 maggio 2021

Il trojan bancario Bizarro sta colpendo oltre 70 banche in Europa e Sud America: prese di mira anche banche italiane

Bizarro è un trojan bancario nato in Brasile ma che, da qualche settimana, ha varcato i confini e sta bersagliando i clienti di oltre 70 diversi istituti bancari in Europa e in Sud America. Una volta che è riuscito a violare un sistema Windows, questo trojan cerca in ogni modo di ingannare gli utenti a inserire le proprie credenziali bancarie e, tramite varie tecniche di ingegneria sociale, a convincerli a diffondere i codici di autenticazione a due fattori. 

La diffusione
Bizarro è un trojan piuttosto pericoloso perchè è costantemente in sviluppo: i suoi gestori allungano continuamente la lista delle banche bersaglio e implementano a cadenza molto ravvicinata molte tecniche per prevenire l'individuazione da parte di soluzioni di sicurezza ma anche per rendere più complicata possibile l'analisi del codice da parte dei ricercatori di sicurezza. 

Stando ai dati telemetrici ad ora disponibili, Bizarro sta colpendo gli utenti di istituti bancari in nazioni nelle quali la sua presenza non era mai stata registrata: in Europa il trojan si concentra sui clienti di istituti bancari tedeschi, spagnoli, portoghesi, francesi ed italiani, mentre in Sud America i più colpiti sono i clienti di banche cilene, argentine e brasiliane. 

La campagna di attacco
Bizarro viene diffuso con la più classica email di phishing che, prodotta in più lingue, riferisce comunque allo stesso tema: le email sono mascherate da messaggi ufficiali che riferiscono a fantomatici ammanchi e obblighi fiscali. Il corpo del messaggio contiene un link dal quale viene scaricato, in formato .MSI, il trojan. 

Una volta avviato, il malware scarica un archivio .ZIP con i componenti dannosi dei quali necessita collegandosi a server appositamente compromessi sui servizi WordPress, Amazon e Azure.

Una email di phishing destinata ad utenti spagnoli. Fonte: bleepingcomputer.com

Le funzionalità di Bizarro
Una volta avviato, Bizarro termina ogni sessione esistente con i servizi di banking online semplicemente arrestando tutti i processi relativi ai browser. Questa banale attività obbliga gli utenti a re inserire le credenziali dell'account bancario: è qui che il malware intercetta le credenziali e le trasmette ai suoi gestori.  Può anche disabilitare la funzione di auto completamento nel browser web per catturare le credenziali di login quando gli utenti le digitano manualmente. 

Una componente centrale del malware è la sua backdoor: questa supporta oltre 100 diversi comandi, la quasi totalità dei quali serve a mostrare pop up fake agli utenti. Questa funzionalità si attiva soltanto dopo che il malware ha enumerato tutte le finestre per verificare che una sia connessa ai siti bancari supportati. 

Altre funzionalità di Bizarro sono:

  • keylogger: Bizarro registra tutte le battiture sulla tastiera dell'utente;
  • può prendere il controllo di mouse e tastiera;
  • può prendere il controllo dei file salvati nell'hard drive;
  • può spegnere, riavviare, danneggiare il sistema operativo, ma anche limitare la funzionalità di Windows;
  • recupera dati e informazioni sulla vittima e sul sistema in uso, gestendo anche lo status della connessione.

Le tecniche di ingegneria sociale
Usando specifici comandi per la backdoor, gli operatori di Bizarro provano a spingere con l'inganno l'utente a fornire le informazioni di login al proprio account bancario: possono cioè mostrare all'utente messaggi pop up e finestre che richiedono l'inserimento o delle credenziali stesse o dei codici di autenticazione a due fattori. 

 Fonte: bleepingcomputer.com

Il contenuto di queste finestre vari: alcune notifiche richiedono dettagli aggiuntivi o di inserire un codice di conferma per un errore inesistente. Talvolta si informa che il sistema deve essere riavviato per concludere un'operazione di sicurezza. 

Un'altra tecnica consiste nel mostrare all'utente immagini JPEG che imitano pagine del sito legittimo della banca, con tanto di loghi ufficiali e istruzioni per le vittime. Alcuni di questi messaggi sono usati come screenlocker e nascondono la taskbar, rendendo difficile l'avvio del Task Manager. 

La maggior parte di queste immagini allerta l'utente di una fantomatica compromissione del sistema, indicando come sia urgente eseguire immediatamente un update o installare uno componente sul browser per risolvere il problema. 

Fonte: bleepingcomputer.com

Molte di queste finestre tentano di indurre l'utente ad installare app bancarie fake, il cui unico scopo è mulare le app legittime degli istituti bancari per indurre l'utente ad inserire credenziali e dati sensibili. 

Nessun commento:

Posta un commento