Actualités

Bizarro : gare au cheval de Troie qui sévit en Europe et subtilise les données bancaires !

L’équipe sécuritaire Kaspersky (SecureList) alerte grandement : Bizarro (Banker.Win32.Bizarro ou Trojan-Banker.Win64.Bizarro) permet d’aspirer les données bancaires pour mieux subtiliser le compte rattaché via des attaques complexes reposant, en partie, sur l’attaque par ingénierie sociale…

 

 

 

“Sur la base de notre télémétrie, nous avons vu des victimes de Bizarro dans différents pays, dont le Brésil, l’Argentine, le Chili, l’Allemagne, l’Espagne, le Portugal, la France et l’Italie. Ces statistiques prouvent à nouveau que les opérateurs de Bizarro ont élargi leur intérêt du Brésil à d’autres pays d’Amérique du Sud et d’Europe […] Des tentatives ont maintenant été faites pour voler les informations d’identification des clients de 70 banques de différents pays d’Europe et d’Amérique du Sud. Sur les traces de Tetrade, Bizarro utilise des affiliés ou recrute des mules pour opérationnaliser leurs attaques, encaisser ou simplement aider aux transferts”, est-il détaillé dans le communiqué sécuritaire, le 17 Mai 2021.

 

Les cyber-attaquants dupent les victimes en soumettant de faux formulaires d’identification (2FA…) via des pop-ups falsifiées ou depuis une application mobile frauduleuse qui aura été, au préalable, téléchargée par la victime. Selon les chercheurs, les points d’origine se situent sous des serveurs Amazon (AWS) et – Microsoft – Azure ainsi que WordPress. La viralité de Bizarro prend son sein depuis un mail type phishing, via un lieu tronqué. Si la victime clique sur ce lien, un package MSI est alors téléchargé (sous la forme d’une archive ZIP intégrant un DLL, un exécutable AutoHotkey et un autre script qui renvoie à un appel-DLL) et le DLL, une fois initialisé et chargé, déploiera la viralité sur le système du terminal. Cela met fin à tout processus existant ou actif et les informations d’identification sont alors subtilisées depuis le navigateur Web. Ce dernier peut également voir la saisie automatique ou semi-automatique entièrement désactivée.

Outre les informations bancaire, les données-système sont ex-filtrées (nom-ordinateur, version OS, nom-navigateur par défaut et nom de l’antivirus installé). L’ensemble est transmis de manière distante. Presse-papiers, écran-système sont capturés pour optimiser le larcin, ce qui permet au cheval de Troie de détecter également, outre les comptes bancaires traditionnels, les comptes de crypto-monnaie (wallet, porte-feuille). Si tel est le cas, le chemin ou adresse est remplacé par celui du cyber-attaquant : l’argent sera automatiquement redirigé ou ex-filtré de la sorte…

En teneur, la porte dérobée est un concentré d’une centaine de commandes : “le composant principal de la porte dérobée ne démarre que lorsque Bizarro détecte une connexion à l’un des systèmes bancaires en ligne codés en dur. Le logiciel malveillant fait cela en énumérant toutes les fenêtres, en collectant leurs noms. Les espaces blancs, les lettres accentuées (telles que ñ ou á) et les symboles non alphabétiques tels que les tirets sont supprimés des chaînes de nom de fenêtre. Si un nom de fenêtre correspond à l’une des chaînes codées en dur, la porte dérobée continue de démarrer“. Le cache DNS est supprimé (via ipconfig – flushdns) pour éviter une jointure éventuelle vers une adresse IP légitime auparavant bloquée. Une fois cela fait, un socket est créée (fichier% userprofile% \ bizarro.txt) pour finaliser la liaison vers le serveur command-and-control. Voici un extrait des types de commandes possibles :

 

  • Envoi d’informations (codes bancaires, nom-ordinateur, version-ordinateur, logiciel anti-virus, version de Bizarro) ;

  • Téléchargement et Upload de fichiers vers ou depuis le terminal-cible ;

  • Recherche-fichiers ;

  • Contrôle de certains périphériques et accessoires : souris, clavier (enregistreur de frappe, journalisation) ;

  • Gestion (arrêt) de la porte dérobée ;

  • Arrêt, redémarrage ou suppression du système d’exploitation. Contrôle des fonctionnalités de l’OS (Windows) ;

  • Affichage de messages trompeurs (ingénierie sociale) via des boîtes de dialogues. Notamment, commande “vanessa” (demande de saisie d’information de confirmation) et LMAimwc (demande de redémarrage).

 

Originaire du Brésil, Bizarro s’inscrit dans une vaste campagne (en relation mais non-assimilé) de chevaux de Troie bancaires avec, en plus de l’Europe, l’Amérique du Sud pour principale cible : c’est le cas des trojans Guildma, Javali, Melcoz, Grandoreiro ou encore Amavaldo… A veiller !

 

 

Source : SecureList – 17 Mai 2021 – Bizarro : cheval de Troie permettant l’installation d’une porte dérobée en vue d’une ex-filtration de données bancaires partiellement par ingénierie sociale.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0