卡巴斯基研究人员发现一种来自巴西的被称为Bizarro的最新网银恶意软件,该恶意软件对欧洲和南美不同国家的70家银行进行了攻击。去年,卡巴斯基研究人员发现几个来自南美的银行木马(Guildma、Javali、Melcoz和Grandoreiro),将其攻击行动扩展到全球各地。

Bizarro是一种源自巴西的最新网银木马家族,但现在也出现在其他国家,例如阿根廷、智利、德国、西班牙、葡萄牙、法国和意大利。像Tétrade一样,Bizarro也在使用联盟或招募来操作他们的攻击,进行兑现或只是帮助翻译。与此同时,这种恶意软件家族幕后的网络罪犯正在使用各种技术手段来让恶意软件分析和检测变得更为复杂,同时利用社交工程手段说服被攻击目标提供他们的网上银行凭证。

Bizarro通过MSI(微软安装程序)程序包由受害者通过垃圾邮件中的链接进行下载。一旦启动,Bizarro会从受感染网站下载一个ZIP文档,以部署其进一步的恶意功能。将数据发送到遥测服务器后,Bizarro会初始化屏幕捕获模块。截止到目前,卡巴斯基专家已经发现Bizarro使用Azure、Amazon的托管服务器和被入侵的WordPress服务器来存储恶意软件和收集遥测数据。

卡巴斯基研究人员指出,其后门程序是Bizarro的核心组件。该后门程序包含超过100个命令,其中大多数用来向用户展示假冒的弹出式信息。有些甚至会模仿网上银行系统。

brazilian-malware-on-the-rise-kaspersky-discovers-new-local-banking-trojan-is-going.jpg

示例:Bizarro阻止银行的登录页面,并告知用户正在安装安全更新

“网络罪犯会不断寻找新的手段来传播可窃取电子支付系统和在线银行系统登录凭证的恶意软件。今天,我们见证了网银恶意软件传播的一个改变游戏规则的趋势——区域性的威胁行为者在积极攻击用户,不仅攻击他们所在区域的用户,还包括全球用户。通过部署新的攻击技术,巴西恶意软件家族开始向其他大洲传播,以欧洲用户为攻击目标的Bizarro就是最明显的例子。这应当被视为一个标志,需要更加注重对区域网络罪犯的和本地威胁情报的分析,因为很快这些威胁就会成为一个全球关注的问题,”卡巴基斯安全专家Fabio Assolini评论说。

更多有关Bizarro的技术特征详情,请访问Securelist.com.

为了保护金融不受诸如Bizarro(和其他)网银木马的危害,卡巴斯基专家建议:

  • 为您的SOC团队提供对最新威胁情报的访问,让他们了解网络罪犯使用的最新工具和技巧。例如,卡巴斯基金融威胁情报报告服务就包含感染迹象、Yara规则以及这些威胁的哈希值。
  • 利用全球研究和分析团队专家开发的卡巴斯基在线培训课程来提高您的SOC团队应对最新针对性威胁的能力。
  • 教育您的用户了解可能出现的危险以及恶意用户可能会使用的伎俩。定期向他们发送有关如何识别欺诈以及在这种情况下如何采取行动的信息。
  • 部署一款能够检测复杂欺诈案例的反欺诈解决方案。例如,卡巴斯基反欺诈就是一款基于会话的反欺诈解决方案,不仅能够打击在窃取资金孵化阶段的恶意行为(JavaScript诸如、远程管理工具连接和网站使用),还可以识别账户的后续不当行为并检测社交工程案例。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.

巴西恶意软件呈上升趋势:卡巴斯基发现新的本地网银木马正在走向全球

卡巴斯基研究人员发现一种来自巴西的被称为Bizarro的最新网银恶意软件,该恶意软件对欧洲和南美不同国家的70家银行进行了攻击。
Kaspersky Logo