Bizarro本來是一個來自巴西的銀行木馬家族，但是目前它已經(jīng)被傳播到了世界各地。卡巴斯基的研究人員已經(jīng)看到西班牙、葡萄牙、法國和意大利已經(jīng)有用戶被攻擊了。現(xiàn)在已經(jīng)有攻擊者嘗試從歐洲和南美不同國家的70家銀行那里的竊取客戶的憑證。與Tetrade類似，Bizarro正在利用分支機(jī)構(gòu)或招募錢騾來實施他們的攻擊，兌現(xiàn)或幫助轉(zhuǎn)賬。在本文中，研究人員分析了木馬組件的技術(shù)特征，詳細(xì)介紹了混淆技術(shù)、感染過程和隨后的函數(shù)，以及攻擊者用來說服受害者提供他們的個人網(wǎng)上銀行信息的社會工程(誘騙)策略。

?[[400867]]?

Bizarro具有x64模塊，能夠誘使用戶在假彈出窗口中輸入雙因素驗證碼。它還可能使用社交工程來說服受害者下載智能手機(jī)應(yīng)用程序。Bizzaro背后的組織使用Azure和Amazon(AWS)上托管的服務(wù)器以及受感染的WordPress服務(wù)器來存儲惡意程序并收集追蹤數(shù)據(jù)。

Bizarreland

Bizarro是通過受害者從垃圾郵件中的鏈接下載的MSI程序包傳播的。啟動后，Bizarro會從受感染的網(wǎng)站下載ZIP文件。在撰寫本文時，卡巴斯基的研究人員看到被黑客攻擊的WordPress，Amazon和Azure服務(wù)器用于存儲檔案。 MSI安裝程序具有兩個嵌入式鏈接，至于選擇哪一個則取決于受害者的處理器體系結(jié)構(gòu)。

??

Bizarro運(yùn)營商發(fā)出的典型惡意信息

下載的ZIP壓縮包包含以下文件：

• 用Delphi編寫的惡意DLL;
• 一個合法的可執(zhí)行文件，它是AutoHotkey腳本運(yùn)行程序(在某些示例中，使用AutoIt代替了AutoHotkey);
• 一個小的腳本，它是從惡意DLL調(diào)用導(dǎo)出的函數(shù);

DLL導(dǎo)出一個包含惡意代碼的函數(shù)，惡意程序開發(fā)人員使用混淆處理技術(shù)使代碼分析變得復(fù)雜。輸出函數(shù)的代碼已被保護(hù)程序刪除。屬于導(dǎo)出函數(shù)的字節(jié)在運(yùn)行時由DLL入口點函數(shù)恢復(fù)，這個入口點函數(shù)非常混淆。用于復(fù)雜分析的技巧包括常量擴(kuò)展和垃圾代碼插入。對于惡意程序開發(fā)人員來說，他們正在不斷改進(jìn)二進(jìn)制文件的保護(hù)。在Bizarro的早期版本中，只有入口點函數(shù)受到保護(hù)，而在最近的示例中，該保護(hù)程序也被用來混淆所導(dǎo)入的API函數(shù)的調(diào)用。

當(dāng)Bizarro啟動時，它首先會殺死所有瀏覽器進(jìn)程，以終止與網(wǎng)上銀行網(wǎng)站的任何現(xiàn)有會話。當(dāng)用戶重新啟動瀏覽器時，他們將被迫重新輸入銀行賬戶憑證，該憑據(jù)將被惡意程序捕獲。為了獲得盡可能多的憑據(jù)，Bizarro采取的另一個步驟是禁用瀏覽器中的自動完成函數(shù)。

Bizarro會收集運(yùn)行系統(tǒng)的以下信息：

• 計算機(jī)名稱;
• 操作系統(tǒng)版本;
• 默認(rèn)瀏覽器名稱;
• 已安裝的殺毒程序程序名稱;

Bizarro在發(fā)送POST請求時使用了'Mozilla / 4.0(compatible; MSIE 6.0; Windows NT 5.0')用戶代理。該用戶代理有錯別字：兼容后應(yīng)該有一個空格符號;缺少子字符串和右括號。研究表明，該漏洞尚未在最新版本中得到解決。此后，Bizarro在%userprofile%目錄中創(chuàng)建了一個空文件，從而將系統(tǒng)標(biāo)記為受感染。文件名是腳本運(yùn)行程序的名稱(AutoIt或AutoHotKey)，并添加.jkl擴(kuò)展名。

將數(shù)據(jù)發(fā)送到監(jiān)測服務(wù)器后，Bizarro初始化了屏幕捕獲模塊。它加載magnification.dll庫，并獲得了已棄用的MagSetImageScalingCallback API函數(shù)的地址。借助其幫助，該木馬程序可以捕獲用戶的屏幕，并不斷監(jiān)視系統(tǒng)剪貼板，以尋找比特幣錢包地址。如果找到，它就會被惡意程序開發(fā)者的錢包代替。

這個后門是Bizarro的核心組件：它包含100多條命令，讓攻擊者可以竊取網(wǎng)上銀行賬戶憑證。大多數(shù)命令用于向用戶顯示偽造的彈出消息。在Bizarro檢測到與某個硬編碼在線銀行系統(tǒng)的連接之前，后門的核心組件不會啟動。惡意程序通過列舉所有窗口并收集其名稱來實現(xiàn)此目的。從窗口名稱字符串中刪除空格字符，帶有重音的字母(例如?或á)和非字母符號(例如破折號)。如果窗口名稱與其中一個硬編碼字符串匹配，則后門將繼續(xù)啟動。

后門要做的第一件事是通過執(zhí)行ipconfig /flushdns命令刪除DNS緩存。這樣做是為了防止連接到被阻止的IP。在那之后，惡意程序?qū)⒂蛎馕鰹镮P地址，創(chuàng)建一個套接字并將其綁定到解析的地址。如果連接成功，它將創(chuàng)建%userprofile%\ bizarro.txt文件。

后門及其C2

Bizarro從其C2接收的命令可以分為以下幾類：

(1) 允許C2操作員獲取受害者數(shù)據(jù)并管理連接狀態(tài)的命令。

(2) 允許攻擊者控制受害者硬盤上文件的命令。

(3) 允許攻擊者控制用戶的鼠標(biāo)和鍵盤的命令。

在carmena命令的幫助下，Bizarro還可以操作用戶的鍵盤(用戶實際輸入的內(nèi)容)。

(4) 允許攻擊者控制后門操作、關(guān)閉、重啟或破壞操作系統(tǒng)和限制Windows函數(shù)的命令。

LkingWajuGhkzwu命令關(guān)閉后門，而vkbAlcvtlY命令將BAT文件拖放到工作目錄中。批處理腳本負(fù)責(zé)從磁盤刪除惡意程序。

(5) 記錄按鍵的命令。

Bizarro支持兩個負(fù)責(zé)鍵盤記錄的命令，COZUMEL命令啟動日志記錄進(jìn)程，而COZUMARIA命令則停止它。

(6) 執(zhí)行社會工程攻擊的命令。

這些命令顯示各種消息，誘騙用戶讓攻擊者進(jìn)入銀行賬戶。顯示的消息類型從簡單的消息框到精心設(shè)計的帶有銀行日志的窗口，都讓人誤以為這是真的網(wǎng)站。

研究人員將首先描述顯示W(wǎng)indows消息框的命令。dkxqdpdv命令顯示一條錯誤消息，其內(nèi)容為“輸入的數(shù)據(jù)不正確，請重試。”

??

Bizarro會顯示一條消息，告訴用戶再次輸入請求的數(shù)據(jù)

vanessa命令顯示一條錯誤消息，告訴用戶輸入確認(rèn)信息。為了進(jìn)一步使用戶確信所有操作都是合法的，該惡意軟件會顯示RUT (Rol único Tributario，一個智利ID號)和之前提供的值。該消息包含以下文本：

??

要求用戶輸入確認(rèn)碼的錯誤消息

LMAimwc命令顯示另一個錯誤消息，這一次，它告訴用戶，他們的計算機(jī)需要重新啟動才能完成與安全相關(guān)的操作。Bizarro顯示的文本如下所示：

??

會出現(xiàn)一個錯誤消息告訴用戶操作系統(tǒng)將重新啟動

Bizarro顯示的最有趣的信息是那些試圖模仿網(wǎng)上銀行系統(tǒng)的信息，要顯示此類消息，Bizarro需要下載JPEG圖像，其中包含銀行徽標(biāo)和受害者需要遵循的說明。這些圖像以加密形式存儲在用戶配置文件目錄中。在消息中使用圖像之前，必須使用多字節(jié)XOR算法對其進(jìn)行解密，由于消息是從C2服務(wù)器下載的，因此只能在受害者的計算機(jī)上找到它們。

Bizarro可能會顯示的第一類自定義消息是凍結(jié)受害者計算機(jī)的消息，從而使攻擊者可以花些時間。當(dāng)接收到顯示此類消息的命令時，任務(wù)欄會被隱藏，屏幕會變灰，消息本身也會顯示出來。當(dāng)消息顯示時，用戶無法關(guān)閉它或打開任務(wù)管理器。該消息本身告訴用戶該系統(tǒng)已受到威脅，因此需要更新，或者正在安裝安全性和瀏覽器性能組件。此類消息還包含一個隨時間變化的進(jìn)度條。

下圖顯示了這些消息在受害者屏幕上的樣子，并以西班牙語編寫了消息：

??

Bizarro阻止了銀行登錄頁面，并告訴用戶正在安裝安全更新

以下兩條消息試圖讓受害者相信他們的系統(tǒng)已被破壞，在大多數(shù)情況下，Bizarro告訴用戶不要擔(dān)心“安全更新”期間發(fā)生的任何事情，因為它們只是在確認(rèn)客戶端的身份。這使客戶對批準(zhǔn)攻擊者請求的所有事情更有信心。

??

告訴用戶其系統(tǒng)已受到攻擊的消息

Bizarro還試圖引誘受害者向攻擊者發(fā)送雙因素驗證碼，研究人員看到的另一個有趣的函數(shù)是試圖說服受害者在他們的智能手機(jī)上安裝一個惡意應(yīng)用程序，它使用以下窗口來確定移動操作系統(tǒng)的類型：

??

Bizarro要求用戶選擇其智能手機(jī)的操作系統(tǒng)

如果受害者選擇Android, C2服務(wù)器將發(fā)送一個帶有惡意應(yīng)用程序的鏈接到客戶端。客戶端將借助Google Charts API制作出二維碼，然后發(fā)送一個帶有以下參數(shù)的請求：

http://chart.apis.google.com/chart?chs=x&cht=qr&chld=&chl=

然后，獲得的二維碼將顯示在帶有以下文本的窗口中：

??

Bizarro要求用戶掃描二維碼

攻擊場景

借助Bizarro開發(fā)人員在木馬中包含的命令，攻擊者可能會在以下情況下發(fā)動攻擊：

??

Bizarro使用的感染方案

根據(jù)受支持銀行的名單，Bizarro背后的攻擊者將目標(biāo)鎖定為來自歐洲和南美的多家銀行的客戶。根據(jù)研究人員的監(jiān)測技術(shù)，研究人員在不同的國家看到了Bizarro的受害者，包括巴西、阿根廷、智利、德國、西班牙、葡萄牙、法國和意大利。這些數(shù)據(jù)再次證明了一個事實，那就是Bizarro的經(jīng)營者已經(jīng)將他們的興趣從巴西擴(kuò)展到了南美和歐洲的其他國家。

總結(jié)

最近，卡巴斯基的研究人員看到一些南美的銀行木馬(例如Guildma，Javali，Melcoz，Grandoreiro和Amavaldo)將其業(yè)務(wù)擴(kuò)展到其他地區(qū)，主要是歐洲。Bizarro則是新出現(xiàn)的一個攻擊活動。該活動背后的攻擊者正在采用各種技術(shù)方法來使惡意軟件分析和檢測復(fù)雜化，以及可以幫助說服受害者提供與其網(wǎng)上銀行帳戶有關(guān)的個人數(shù)據(jù)的社交工程技巧。

研究人員將這個家族命名為Trojan-Banker.Win32.Bizarro或Trojan-Banker.Win64.Bizarro，更多信息請訪問

http://xtraining.kaspersky.com。

本文翻譯自：https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/