O cavalo de tróia para Internet banking expande seus ataques para a Europa

Vimos usuários sendo segmentados na Espanha, Portugal, França e Itália. Já foram feitas tentativas de roubar credenciais de clientes de 70 bancos de diferentes países europeus e sul-americanos. Seguindo os passos da Tetrade, A Bizarro está usando afiliados ou recrutando mulas de dinheiro para operacionalizar seus ataques, sacando ou simplesmente ajudando nas transferências. Neste artigo, analisamos as características técnicas dos componentes do Trojan, dando uma visão geral detalhada das técnicas de ofuscação, o processo de infecção e funções subsequentes, bem como as táticas de engenharia social usadas pelos cibercriminosos para convencer suas vítimas a doar seus serviços bancários online pessoais detalhes.

O Bizarro tem módulos x64 e é capaz de induzir os usuários a inserir códigos de autenticação de dois fatores em pop-ups falsos. Ele também pode usar engenharia social para convencer as vítimas a baixar um aplicativo para smartphone. O grupo por trás da Bizzaro usa servidores hospedados no Azure e Amazon (AWS) e servidores WordPress comprometidos para armazenar o malware e coletar telemetria.

Bizarreland

O Bizarro é distribuído por meio de pacotes MSI baixados pelas vítimas de links em e-mails de spam. Uma vez lançado, o Bizarro baixa um arquivo ZIP de um site comprometido. Ao escrever este artigo, vimos servidores WordPress, Amazon e Azure invadidos usados para armazenar arquivos. O instalador MSI tem dois links embutidos - o escolhido depende da arquitetura do processador da vítima.

A DLL exporta uma função que contém o código malicioso. Os desenvolvedores de malware usaram ofuscação para complicar a análise de código. O código das funções exportadas foi removido pelo protetor. Os bytes que pertencem às funções exportadas são restaurados pela função de ponto de entrada da DLL em tempo de execução. Esta função de ponto de entrada é fortemente ofuscada. Os truques usados para complicar a análise consistem em desdobramento constante e inserção de código inútil. Quanto aos desenvolvedores de malware, eles estão constantemente melhorando a proteção dos binários. Em versões anteriores do Bizarro, apenas a função de ponto de entrada era protegida, enquanto em exemplos mais recentes o protetor também é usado para ocultar chamadas das funções de API importadas.

Quando o Bizarro é iniciado, ele primeiro mata todos os processos do navegador para encerrar quaisquer sessões existentes com sites de bancos online. Quando um usuário reinicia os navegadores, ele é forçado a inserir novamente as credenciais da conta bancária, que serão capturadas pelo malware. Outra etapa que a Bizarro executa para obter o máximo de credenciais possível é desativar o preenchimento automático em um navegador.

A Bizarro coleta as seguintes informações sobre o sistema em que está sendo executado:

Nome do computador;

Versão do sistema operacional;

Nome do navegador padrão;

Nome do software antivírus instalado.

A Bizarro usa o agente do usuário ' Mozilla / 4.0 (compatível; MSIE 6.0; Windows NT 5.0 ′ ao enviar a solicitação POST. Este agente do usuário tem erros de digitação: deve haver um símbolo de espaço após o compatível; substring e o colchete de fechamento estão faltando. pesquisas mostram que esse erro não foi corrigido nas versões mais recentes. Depois disso, o Bizarro cria um arquivo vazio no diretório % userprofile% , marcando assim o sistema como infectado. O nome do arquivo é o nome do executor do script (AutoIt ou AutoHotKey) com a extensão .jkl anexada a ele.

Depois de enviar os dados para o servidor de telemetria, a Bizarro inicializa o módulo de captura de tela. Ele carrega a biblioteca magnification.dll e obtém o endereço da função da API MagSetImageScalingCallback obsoleta . Com sua ajuda, o Trojan pode capturar a tela de um usuário e também monitorar constantemente a área de transferência do sistema, procurando um endereço de carteira Bitcoin. Se encontrar uma, ela será substituída por uma carteira pertencente aos desenvolvedores de malware.

O backdoor é o componente central do Bizarro: ele contém mais de 100 comandos e permite que os invasores roubem credenciais de contas bancárias online. A maioria dos comandos é usada para exibir mensagens pop-up falsas aos usuários. O componente principal do backdoor não inicia até que o Bizarro detecte uma conexão com um dos sistemas bancários online codificados. O malware faz isso enumerando todas as janelas, coletando seus nomes. Caracteres de espaço em branco, letras com acentos (como ñ ou á) e símbolos que não sejam letras, como travessões, são removidos das strings de nomes de janela. Se o nome de uma janela corresponder a uma das strings codificadas, a porta dos fundos continua inicializando.

A primeira coisa que o backdoor faz é remover o cache DNS executando o comando ipconfig / flushdns . Isso é feito para evitar a conexão com um IP bloqueado. Depois disso, o malware resolve o nome de domínio para um endereço IP, cria um soquete e o vincula ao endereço resolvido. Se a conexão for bem-sucedida, ele cria o arquivo % userprofile% \ bizarro.txt .

A porta dos fundos e seu C2

Os comandos que a Bizarro recebe de seu C2 podem ser divididos nas seguintes categorias:

Comandos que permitem aos operadores C2 obter dados sobre a vítima e gerenciar o status da conexão

O comando | PT | envia as informações do ambiente para o C2: versão do Bizarro, nome do SO, nome do computador, identificador único da Bizarro, software antivírus instalado e o codinome usado para o banco que foi acessado. Os codinomes são nomes de bancos escritos em leetspeak .

Comandos que permitem que invasores controlem os arquivos localizados no disco rígido da vítima

Comandos que permitem que invasores controlem o mouse e o teclado do usuário

O Bizarro também pode manipular o teclado do usuário (o que o usuário realmente digita) com a ajuda do comando carmena .

Comandos que permitem que os invasores controlem a operação backdoor, desliguem, reiniciem ou destruam o sistema operacional e limitam a funcionalidade do Windows

O comando LkingWajuGhkzwu fecha a porta dos fundos, enquanto o comando vkbAlcvtlY descarta um arquivo BAT no diretório de trabalho. O script em lote é responsável por excluir o malware do disco.

Comandos que registram as teclas digitadas

O Bizarro oferece suporte a dois comandos responsáveis pelo keylogging. O comando COZUMEL inicia o processo de registro, enquanto o comando COZUMARIA o interrompe.

Comandos que executam ataques de engenharia social

Esses comandos exibem várias mensagens que enganam os usuários para que forneçam aos invasores acesso à conta bancária. Os tipos de mensagens exibidas variam de caixas de mensagens simples a janelas bem projetadas com registros bancários.

Descreveremos primeiro os comandos que mostram as caixas de mensagens do Windows. O comando dkxqdpdv exibe uma mensagem de erro com o texto: “Los datos ingresados son incorrectos, por favor intente nuevamente.” (Inglês: “Os dados inseridos estão incorretos, tente novamente.” )

As mensagens mais interessantes que a Bizarro exibe são aquelas que tentam imitar os sistemas de banco online. Para exibir essas mensagens, o Bizarro precisa baixar uma imagem JPEG que contém o logotipo do banco e as instruções que a vítima deve seguir. Essas imagens são armazenadas no diretório de perfil do usuário de forma criptografada. Antes de uma imagem ser usada em uma mensagem, ela é descriptografada com um algoritmo XOR de vários bytes. Como as mensagens são baixadas do servidor C2, elas podem ser encontradas apenas nas máquinas das vítimas.

O primeiro tipo de mensagens personalizadas que o Bizarro pode mostrar são mensagens que congelam a máquina da vítima, permitindo que os atacantes ganhem algum tempo. Quando um comando para exibir uma mensagem como esta é recebido, a barra de tarefas é oculta, a tela fica acinzentada e a própria mensagem é exibida. Enquanto a mensagem é exibida, o usuário não consegue fechá-la ou abrir o Gerenciador de Tarefas. A própria mensagem informa ao usuário que o sistema está comprometido e, portanto, precisa ser atualizado ou que os componentes de segurança e desempenho do navegador estão sendo instalados. Este tipo de mensagem também contém uma barra de progresso que muda com o tempo.

As duas mensagens a seguir tentam convencer a vítima de que seu sistema está comprometido. Na maioria deles, o Bizarro diz ao usuário para não se preocupar com nenhuma transação que ocorra durante a “atualização de segurança”, pois eles estão apenas confirmando a identidade do cliente. Isso faz com que os clientes se sintam mais confiantes para aprovar todas as transações solicitadas pelos invasores.

A Bizarro também tenta convencer as vítimas a enviar códigos de autenticação de dois fatores aos atacantes. Outro recurso interessante que vimos envolve uma tentativa de convencer a vítima a instalar um aplicativo malicioso em seu smartphone. Ele usa as seguintes janelas para determinar o tipo de sistema operacional móvel:

Se a vítima escolher o Android, o servidor C2 enviará um link com um aplicativo malicioso para o cliente. O cliente fará um código QR com a ajuda da API de gráficos do Google. Ele envia uma solicitação com os seguintes argumentos:

http://chart.apis.google.com/chart?chs=QR code widthxQR code heightcht=qrchld=error correction levelchl=link to the application

Cenário de ataque

Com a ajuda dos comandos que os desenvolvedores do Bizarro incluíram no cavalo de Tróia, os adversários podem encenar um ataque com o seguinte cenário:

De acordo com a lista de bancos apoiados, o ator da ameaça por trás da Bizarro tem como alvo clientes de vários bancos da Europa e América do Sul. Com base em nossa telemetria, vimos vítimas do Bizarro em diferentes países, incluindo Brasil, Argentina, Chile, Alemanha, Espanha, Portugal, França e Itália. Essas estatísticas mais uma vez comprovam o fato de as operadoras da Bizarro terem expandido seu interesse do Brasil para outros países da América do Sul e Europa.

Conclusão

Recentemente, vimos vários cavalos de Troia bancários da América do Sul (como Guildma, Javali, Melcoz, Grandoreiro e Amavaldo) expandindo suas operações para outras regiões, principalmente a Europa. Bizarro é mais um exemplo disso. Os agentes de ameaças por trás desta campanha estão adotando vários métodos técnicos para complicar a análise e detecção de malware, bem como truques de engenharia social que podem ajudar a convencer as vítimas a fornecer dados pessoais relacionados às suas contas bancárias online.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.