Kaspersky-Experten haben eine neue Banking-Malware brasilianischen Ursprungs unter dem Namen „Bizarro“ [1] identifiziert. Der Trojaner hat bereits 70 Banken in verschiedenen Ländern Europas und Südamerikas attackiert, unter anderem auch in Deutschland.
Bereits im vergangenen Jahr haben die Kaspersky-Experten einige Banking-Trojaner aus Südamerika (Guildma, Javali, Melcoz und Grandoreiro) mit weltweitem Operationsgebiet identifiziert. Diese als „Tétrade“ [2] bezeichneten Familien bedienen sich neuer, innovativer und ausgefeilter Techniken. Mit der zunächst nur lokal in Brasilien, nun aber weltweit aktiven Malware Bizarro setzt sich dieser Trend im Jahr 2021 fort: ein lokales Operationsgebiet wird global ausgeweitet.
So ist der neue Banking-Trojaner Bizarro brasilianischer Herkunft bereits in Ländern wie Argentinien, Chile, Deutschland, Frankreich, Italien, Portugal und Spanien aufgetaucht. Wie die Vorgänger der Tétrade-Familie nutzen auch die Akteure hinter Bizarro für ihre Angriffe Verbündete und Geldkuriere, die die Auszahlungen übernehmen oder schlicht bei Übersetzungen behilflich sind. Parallel nutzen die Cyberkriminellen verschiedene technische Tricks, welche die Analyse und Entdeckung der Malware erschweren. Zudem werden den Opfern über raffinierte Social-Engineering-Methoden ihre Zugangsdaten zum Online-Banking entlockt.
Bizarro verbreitet sich, indem Opfer via Spam-Mails zum Download von Microsoft-Installer-Paketen (MSI) aufgefordert werden. Nach der Ausführung lädt Bizarro ein ZIP-Archiv von einer kompromittierten Website, um dann weiteren schädlichen Aktivitäten nachgehen zu können. Nachdem der Trojaner Daten an einen Telemetrie-Server geschickt hat, initialisiert Bizarro Module zur Bildschirm-Aufzeichnung. Für das Hosten der Malware und das Sammeln der telemetrischen Daten werden laut den Kaspersky-Experten neben kompromittierten WordPress-Servern bislang bei Azure und Amazon gehostete Server genutzt.
Kern der Bizarro-Malware ist dessen Backdoor. Sie verfügt über mehr als 100 Kommandos, von denen die meisten zur Täuschung der Anwender mit Hilfe der Anzeige gefälschter Pop-up-Meldungen verwendet werden. Einige davon imitieren Online-Banking-Systeme [3].
„Cyberkriminelle sind stets auf der Suche nach neuen Wegen zur Verbreitung von Malware, die Anmeldedaten für E-Payment- und Online-Banking-Systeme abgreift“, erklärt Fabio Assolini, Sicherheitsexperte bei Kaspersky. „Aktuell sehen wir dabei einen Trend, der zu einem Game-Changer bei der Verbreitung von Banking-Malware werden könnte: Regionale Akteure attackieren Anwender nicht mehr nur in ihrer Heimatregion, sondern rund um den Globus. Durch die Anwendung neuer Techniken konnten sich brasilianische Malware-Familien mittlerweile auf anderen Kontinenten ausbreiten. Die Malware Bizarro, die auch Anwender in Europa angreift, ist dafür das beste Beispiel. Sie sollte uns daher als deutlicher Hinweis dienen, dass mehr Augenmerk auf die Analyse regionaler krimineller Aktivitäten und lokaler Threat Intelligence gelegt werden muss. Und zwar noch bevor sich solche Machenschaften zu einem globalen Problem ausweiten können.“
Weitere Informationen zu den technischen Merkmalen von Bizarro unter https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/
Eine Infografik zum Thema ist unter https://box.kaspersky.com/f/4096b9939a4b4c95bd28/ verfügbar.
[1] https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/.
[2] https://securelist.com/the-tetrade-brazilian-banking-malware/97779/
[3] Bei diesem Beispiel blockiert Bizarro die Online-Banking-Anmeldung, indem ein Pop-up den Nutzer über die Installation von Sicherheits-Updates informiert: https://box.kaspersky.com/f/c3f9d3352059434d99c2/
[4] https://www.kaspersky.de/enterprise-security/threat-intelligence
[5] https://xtraining.kaspersky.com/
[6] https://www.kaspersky.de/enterprise-security/fraud-prevention
Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 240.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/