Categories: CybersicherheitVirus

Banking-Trojaner Bizarro nimmt auch Nutzer in Europa ins Visier

Die Hintermänner des aus Brasilien stammenden Banking-Trojaners Bizarro haben ihre Aktivitäten auf Europa ausgeweitet. Darauf weisen Forscher von Kaspersky hin. Bisher war die Malware vor allem in Brasilien sowie in Argentinien und Chile aktiv, inzwischen ist sie auch auf Banken in Spanien, Portugal, Frankreich und Italien ausgerichtet.

Bizarro wird der Tetrade-Familie zugeordnet, die bisher vier unterschiedliche Trojaner umfasst. Die Verteilung erfolgt über Spam-E-Mails, die einen MSI-Installer enthalten. Per Social Engineering sollen Opfer dazu verleitet werden, den Installer auszuführen. Angeblich erhalten sie nur so bestimmte wichtige Benachrichtigungen.

Der Installer selbst lädt ein ZIP-Archiv herunter, das wiederum auf kompromittierten Azure- und AWS-Servern oder auf gekaperten WordPress-Domains gehostet wird. Das Archiv enthält eine schädliche DLL-Datei, ein AutoHotkey-Skript und ein Skript, dass ein Funktion der DLL aufruft. Diese gut getarnte Funktion enthält den eigentlichen Schadcode, der den Banking-Trojaner auslöst.

Bizarro schließlich beendet zuerst alle laufenden Browser-Prozesse, darunter auch aktive Sitzung fürs Online-Banking. Sobald ein Opfer eine solche Sitzung neu startet, greift Bizarro im Hintergrund die Anmeldedaten ab und übermittelt sie an einen von den Cyberkriminellen kontrollierten Befehlsserver. Um die eigene Erfolgsrate zu erhöhen, schaltet Bizarro auch eine Autoausfüllen-Funktion des verwendeten Browsers ab.

Unterstützt werden die Maßnahmen durch Pop-ups, die zum Teil die Taskleiste verdecken oder gar den PC einfrieren lassen. Sie sind so gestaltet, als stammten sie vom eigenen Geldinstitut, und enthalten gefälschte Warnungen zu fehlenden Sicherheitsupdates oder einer aktiven Bedrohung. Bizarro nutzt die Warnungen, um eine Identitätsprüfung zu rechtfertigen.

Diese hat den Zweck, Codes für eine Zwei-Faktor-Authentifizierung abzugreifen. Die Warnungen fordern Nutzer unter Umständen sogar auf, eine Smartphone-App herunterzuladen und zu installieren, um einen QR-Code für die Authentifizierung zu scannen.

Darüber hinaus ist Bizarro in der Lage, Informationen über den verwendeten Computer zu sammeln, Screenshots anzufertigen und alle Tastatureingaben aufzuzeichnen. Die Malware überwacht aber auch die Zwischenablage, um Adressen für Kryptogeldbörsen zu erhalten. Wird eine solche Adresse erkannt, ersetzt Bizarro sie über die Zwischenablage mit der Adresse seiner Hintermänner, in der Hoffnung, dass ein Opfer Geld auf deren Konto überweist.

Bizarro folgt dem Beispiel anderer Banking-Trojaner aus Brasilien, die bereits in andere Regionen expandiert haben. Dazu gehören Guildma, Javali, Melcoz und Grandoreiro. Es wird erwartet, dass sie sich weitere Ziele in anderen Ländern suchen und auch ihre Schadsoftware weiter verbessern.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

PwC-Studie: Produktivitätswachstum und höhere Gehälter durch KI

Arbeitnehmer mit KI-Kompetenzen profitierten 2024 von einer globalen Lohnsteigerung von 56 Prozent.

1 Stunde ago

Passwort Adé

„123456“ – Das war’s? Nicht so ganz, sagt Dirk Wahlefeld von Imprivata.

1 Tag ago

GoldFactory: Cyberkriminelle stehlen dein Gesicht

Wenn ein Cyberkrimineller dein Passwort stiehlt, kannst du es ändern. Aber was passiert, wenn er…

2 Tagen ago

Data Governance im Jahr 2025: KI verändert alles

Unternehmen müssen sicherstellen, dass sie einen einheitlichen Ansatz für das KI-Management verfolgten, sagt Ann Maya…

2 Tagen ago

Südpack Medica digitalisiert Vertrieb mit SAP Sales Cloud V2

Adesso schließt CRM-Implementierung im Greenfield-Ansatz innerhalb eines halben Jahres ab.

3 Tagen ago

Hilfe bei KI-Skalierung für den deutschen Mittelstand

AppliedAI und NVIDIA wollen mit KI-Programm den Zugang zu KI-Lösungen erleichtern und Umsetzung von Innovationen…

4 Tagen ago