Banking-Trojaner Bizarro nimmt auch Nutzer in Europa ins Visier

Die Hintermänner des aus Brasilien stammenden Banking-Trojaners Bizarro haben ihre Aktivitäten auf Europa ausgeweitet. Darauf weisen Forscher von Kaspersky hin. Bisher war die Malware vor allem in Brasilien sowie in Argentinien und Chile aktiv, inzwischen ist sie auch auf Banken in Spanien, Portugal, Frankreich und Italien ausgerichtet.

Bizarro wird der Tetrade-Familie zugeordnet, die bisher vier unterschiedliche Trojaner umfasst. Die Verteilung erfolgt über Spam-E-Mails, die einen MSI-Installer enthalten. Per Social Engineering sollen Opfer dazu verleitet werden, den Installer auszuführen. Angeblich erhalten sie nur so bestimmte wichtige Benachrichtigungen.

Der Installer selbst lädt ein ZIP-Archiv herunter, das wiederum auf kompromittierten Azure- und AWS-Servern oder auf gekaperten WordPress-Domains gehostet wird. Das Archiv enthält eine schädliche DLL-Datei, ein AutoHotkey-Skript und ein Skript, dass ein Funktion der DLL aufruft. Diese gut getarnte Funktion enthält den eigentlichen Schadcode, der den Banking-Trojaner auslöst.

Bizarro schließlich beendet zuerst alle laufenden Browser-Prozesse, darunter auch aktive Sitzung fürs Online-Banking. Sobald ein Opfer eine solche Sitzung neu startet, greift Bizarro im Hintergrund die Anmeldedaten ab und übermittelt sie an einen von den Cyberkriminellen kontrollierten Befehlsserver. Um die eigene Erfolgsrate zu erhöhen, schaltet Bizarro auch eine Autoausfüllen-Funktion des verwendeten Browsers ab.

Unterstützt werden die Maßnahmen durch Pop-ups, die zum Teil die Taskleiste verdecken oder gar den PC einfrieren lassen. Sie sind so gestaltet, als stammten sie vom eigenen Geldinstitut, und enthalten gefälschte Warnungen zu fehlenden Sicherheitsupdates oder einer aktiven Bedrohung. Bizarro nutzt die Warnungen, um eine Identitätsprüfung zu rechtfertigen.

Diese hat den Zweck, Codes für eine Zwei-Faktor-Authentifizierung abzugreifen. Die Warnungen fordern Nutzer unter Umständen sogar auf, eine Smartphone-App herunterzuladen und zu installieren, um einen QR-Code für die Authentifizierung zu scannen.

Darüber hinaus ist Bizarro in der Lage, Informationen über den verwendeten Computer zu sammeln, Screenshots anzufertigen und alle Tastatureingaben aufzuzeichnen. Die Malware überwacht aber auch die Zwischenablage, um Adressen für Kryptogeldbörsen zu erhalten. Wird eine solche Adresse erkannt, ersetzt Bizarro sie über die Zwischenablage mit der Adresse seiner Hintermänner, in der Hoffnung, dass ein Opfer Geld auf deren Konto überweist.

Bizarro folgt dem Beispiel anderer Banking-Trojaner aus Brasilien, die bereits in andere Regionen expandiert haben. Dazu gehören Guildma, Javali, Melcoz und Grandoreiro. Es wird erwartet, dass sie sich weitere Ziele in anderen Ländern suchen und auch ihre Schadsoftware weiter verbessern.