Bizarro原本是一个来源于墨西哥的金融机构木马病毒大家族,可是现阶段它早已被散播到了世界各国。诺顿杀毒软件的分析工作人员早已见到意大利、西班牙、法国的和西班牙早已有用户黑客攻击了。如今早已有网络攻击试着从欧洲地区和南美洲不一样國家的70家金融机构那边的盗取顾客的凭据。与Tetrade相近,Bizarro已经运用分支机构或征募钱骡来执行她们的进攻,兑付或协助转帐。在这篇文章中,科学研究工作人员剖析了木马病毒部件的技术性特点,详解了搞混技术性、感柒全过程和接着的函数,及其网络攻击用于说动受害者给予这些人的个人网银信息的社会工程(哄骗)对策。
Bizarro具备x64控制模块,可以引诱用户在假弹出广告中键入双要素短信验证码。它还很有可能应用社交媒体工程项目来说动受害者免费下载智能化手机应用程序。Bizzaro身后的机构应用Azure和Amazon(AWS)上代管的网络服务器及其受传染的WordPress服务器来储存恶意程序并搜集跟踪数据信息。
Bizarreland
Bizarro是根据受害者从垃圾短信中的链接下载的MSI软件包散播的。运行后,Bizarro会从受传染的网站ZIP文档。在编写此文时,诺顿杀毒软件的分析工作人员见到被网络攻击的WordPress,Amazon和Azure网络服务器用以储存档案资料。 MSI程序安装具备2个内嵌式连接,对于挑选哪一个则在于受害者的CPU系统架构。
Bizarro营运商发送的典型性故意信息
免费下载的ZIP压缩文件包括下列文档:
- 用Delphi撰写的故意DLL;
- 一个合理合法的可执行程序,它是AutoHotkey脚本制作运作程序流程(在一些实例中,应用AutoIt替代了AutoHotkey);
- 一个小的脚本制作,它是以故意DLL启用导出来的函数;
DLL导出一个包括恶意程序的函数,恶意程序开发者应用搞混解决技术性使编码剖析复杂化。輸出函数的编码已被维护程序流程删掉。归属于导出来函数的字节数在运作时由DLL入口点函数修复,这一入口点函数十分搞混。用以繁杂剖析的方法包含变量定义拓展和废弃物编码插进。针对恶意程序开发者而言,她们已经不断完善二进制文件的维护。在Bizarro的初期的版本中,仅有入口点函数遭受维护,而在近期的实例中,该维护程序流程也被用于搞混所导进的API函数的启用。
当Bizarro运作时,它最先会杀掉全部电脑浏览器过程,以停止与个人网上银行网址的一切目前对话。当用户再次启动浏览器时,她们将迫不得已再次键入银行帐户凭据,该凭证将被恶意程序捕获。为了更好地得到尽量多的凭证,Bizarro采用的另一个流程是禁用浏览器中的全自动进行函数。
Bizarro会搜集运作系统软件的下列信息:
- 计算机名称;
- 电脑操作系统版本号;
- 默认浏览器名字;
- 已安裝的消毒程序流程程序名字;
Bizarro在推送POST要求时采用了'Mozilla / 4.0(compatible; MSIE 6.0; Windows NT 5.0')用户代理商。该用户代理有错字:兼容后应当有一个空格符号;缺乏子字符串数组和右引号。研究表明,该系统漏洞并未在最新版中获得处理。此后,Bizarro在%userprofile%文件目录中构建了一个空文档,进而将系统软件标识为受感柒。文件夹名称是脚本制作运作系统的名字(AutoIt或AutoHotKey),并加上.jkl后缀名。
将信息发送至检测网络服务器后,Bizarro复位了显示屏捕获控制模块。它载入magnification.dll库,并取得了已停止使用的MagSetImageScalingCallback API函数的详细地址。依靠其协助,该恶意代码可以捕获用户的显示屏,并持续监控系统剪切板,以找寻比特币钱包详细地址。假如寻找,它便会被恶意程序开发人员的钱夹替代。
这一侧门是Bizarro的关键部件:它包括100好几条指令,让网络攻击可以盗取在网上银行帐户凭据。大部分指令用以向用户表明仿冒的弹出来信息。在Bizarro检验到与某一硬编码线上银行业务的联接以前,侧门的关键部件不容易运行。恶意程序根据例举全部对话框并搜集其名字来完成此目地。从对话框名字字符串数组中删掉空格字符,含有重音的英文字母(例如ñ或á)和非字母符号(例如破折号)。假如对话框名字与在其中一个硬编码字符串匹配,则侧门将再次运行。
侧门要做的第一件事是根据实行ipconfig /flushdns指令删掉DNS缓存文件。那样做是为了避免联接到被阻拦的IP。在哪以后,恶意程序将解析域名为IP地址,建立一个tcp协议并将其关联到分析的详细地址。假如联接取得成功,它将建立%userprofile%\ bizarro.txt文件。
侧门以及C2
Bizarro从其C2接受的指令可以分成下列几种:
(1) 容许C2操作工获得受害者数据信息并管理方法联接情况的指令。
(2) 容许网络攻击操纵受害者电脑硬盘上文档的指令。
(3) 容许网络攻击操纵用户的鼠标和键盘的指令。
在carmena命令的幫助下,Bizarro还能够实际操作用户的电脑键盘(用户具体键入的內容)。
(4) 容许网络攻击操纵侧门实际操作、关掉、重新启动或毁坏电脑操作系统和限定Windows函数的指令。
LkingWajuGhkzwu命令关掉侧门,而vkbAlcvtlY指令将BAT文档拖放进工作中文件目录中。批处理命令脚本制作承担从硬盘删掉恶意程序。
(5) 纪录功能键的指令。
Bizarro适用2个承担键盘记录器的指令,COZUMEL命令运行日志纪录过程,而COZUMARIA指令则终止它。
(6) 实行社会工程进攻的指令。
这种指令表明各种各样信息,哄骗用户让网络攻击进到银行帐户。表明的信息种类从容易的信息框到精心策划的含有金融机构日志的对话框,都令人误认为这也是确实网址。
科学研究工作人员将最先叙述表明Windows信息框的指令。dkxqdpdv命令表明一条不正确信息,其主要内容为“键入的信息有误,请再试。”
Bizarro会表明一条信息,告知用户再度键入要求的数据信息
vanessa指令表明一条不正确信息,告知用户键入确定信息。为了更好地进一步使用户相信全部操作方法全是合理合法的,该恶意程序会表明RUT (Rol Único Tributario,一个多米尼加ID号)和以前给予的值。该信息包括下列文字:
规定用户键入确认码的不正确信息
LMAimwc指令表明另一个异常信息,这一次,它告知用户,她们的电脑必须重启才可以进行与安全性有关的实际操作。Bizarro表明的文字如下所示所显示:
会产生一个异常信息告知用户电脑操作系统将重启
Bizarro表明的最妙趣横生的信息是这些尝试效仿个人网上银行系统软件的信息,要表明该类信息,Bizarro必须免费下载JPEG图象,在其中包括金融机构logo和受害者必须遵循的表明。这种图象以数据加密方式存放在用户配备文件名称中。在信息中应用图象以前,务必应用多字节数XOR优化算法对它进行破译,因为信息是以C2服务器下载的,因而只有在受害者的计算机系统上找出他们。
Bizarro很有可能会表明的第一类自定信息是冻洁受害者电子计算机的信息,进而使网络攻击可以花些時间。当接受到表明该类信息的指令时,任务栏图标会被掩藏,显示屏会变灰,信息自身也会表明出去。当信息表明时,用户没法关掉它或开启资源管理器。该信息自身告知用户该体系已遭受危害,因而必须升级,或是正在安装安全系数和电脑浏览器特性部件。该类信息还包括一个随时长变动的时间轴。
下面的图展示了这种信息在受害者显示屏上的模样,并以西语撰写了信息:
Bizarro阻拦了金融机构登陆页面,并告知用户正在安装安全补丁
下列两根信息尝试让受害者坚信她们的操作系统已被毁坏,在大部分情形下,Bizarro告知用户不要担心“安全补丁”期内产生的一切事儿,由于他们仅仅在确定手机客户端的真实身份。这使顾客对准许网络攻击要求的任何事儿更有信心。
告知用户其系统软件已遭受伤害的信息
Bizarro还尝试诱惑受害者向网络攻击推送双要素短信验证码,科学研究工作人员见到的另一个趣味的函数是尝试说动受害者在许多人的手机上组装一个故意应用软件,它应用下列对话框来明确挪动电脑操作系统的种类:
Bizarro规定用户挑选其手机的电脑操作系统
假如受害者挑选Android, C2网络服务器将上传一个含有故意程序的连接到手机客户端。客户端将依靠Google Charts API制做出二维码,随后推送一个含有下列主要参数的要求:
随后,得到的二维码将展示在含有下列文字的渠道中:
Bizarro规定客户扫描二维码
进攻情景
依靠Bizarro开发者在木马病毒中包括的指令,网络攻击很有可能会在下述情形下发起进攻:
Bizarro应用的感柒计划方案
依据受适用银行业的名册,Bizarro身后的网络攻击将总体目标定位为源自欧洲地区和东南亚的好几家金融机构的顾客。依据科学研究员工的监测系统,科学研究员工在不一样的我国看到了Bizarro的受害人,包含墨西哥、阿根廷、多米尼加、法国、意大利、西班牙、法国的和西班牙。这种数据信息再度说明了一个客观事实,那便是Bizarro的经营人早已将它们的兴趣爱好从墨西哥拓展到了南美洲和欧洲地区的其他国家。
近期12个月中Bizarro的推广状况
汇总
近期,诺顿杀毒软件的分析工作人员见到一些南美洲的金融机构木马病毒(例如Guildma,Javali,Melcoz,Grandoreiro和Amavaldo)将其业务流程扩大到别的地域,主要是欧洲地区。Bizarro则是新产生的一个进攻主题活动。该活动后面的网络攻击已经选用各种各样技术性方式来使恶意程序剖析和检验复杂,及其可以协助说动受害人给予与其说在网上银行帐号相关的个人数据的社交媒体工程项目方法。
科学研究工作人员将这一大家族取名为Trojan-Banker.Win32.Bizarro或Trojan-Banker.Win64.Bizarro,其他信息请浏览
http://xtraining.kaspersky.com。
文中翻譯自:https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/