Zum Hauptinhalt springen

Kaspersky-Experten haben eine neue Banking-Malware brasilianischen Ursprungs unter dem Namen „Bizarro“ [1] identifiziert. Der Trojaner hat bereits 70 Banken in verschiedenen Ländern Europas und Südamerikas attackiert, unter anderem auch in Deutschland.

Bereits im vergangenen Jahr haben die Kaspersky-Experten einige Banking-Trojaner aus Südamerika (Guildma, Javali, Melcoz und Grandoreiro) mit weltweitem Operationsgebiet identifiziert. Diese als „Tétrade“ [2] bezeichneten Familien bedienen sich neuer, innovativer und ausgefeilter Techniken. Mit der zunächst nur lokal in Brasilien, nun aber weltweit aktiven Malware Bizarro setzt sich dieser Trend im Jahr 2021 fort: ein lokales Operationsgebiet wird global ausgeweitet.

So ist der neue Banking-Trojaner Bizarro brasilianischer Herkunft bereits in Ländern wie Argentinien, Chile, Deutschland, Frankreich, Italien, Portugal und Spanien aufgetaucht. Wie die Vorgänger der Tétrade-Familie nutzen auch die Akteure hinter Bizarro für ihre Angriffe Verbündete und Geldkuriere, die die Auszahlungen übernehmen oder schlicht bei Übersetzungen behilflich sind. Parallel nutzen die Cyberkriminellen verschiedene technische Tricks, welche die Analyse und Entdeckung der Malware erschweren. Zudem werden den Opfern über raffinierte Social-Engineering-Methoden ihre Zugangsdaten zum Online-Banking entlockt.

Bizarro verbreitet sich, indem Opfer via Spam-Mails zum Download von Microsoft-Installer-Paketen (MSI) aufgefordert werden. Nach der Ausführung lädt Bizarro ein ZIP-Archiv von einer kompromittierten Website, um dann weiteren schädlichen Aktivitäten nachgehen zu können. Nachdem der Trojaner Daten an einen Telemetrie-Server geschickt hat, initialisiert Bizarro Module zur Bildschirm-Aufzeichnung. Für das Hosten der Malware und das Sammeln der telemetrischen Daten werden laut den Kaspersky-Experten neben kompromittierten WordPress-Servern bislang bei Azure und Amazon gehostete Server genutzt.

Kern der Bizarro-Malware ist dessen Backdoor. Sie verfügt über mehr als 100 Kommandos, von denen die meisten zur Täuschung der Anwender mit Hilfe der Anzeige gefälschter Pop-up-Meldungen verwendet werden. Einige davon imitieren Online-Banking-Systeme [3].

„Cyberkriminelle sind stets auf der Suche nach neuen Wegen zur Verbreitung von Malware, die Anmeldedaten für E-Payment- und Online-Banking-Systeme abgreift“, erklärt Fabio Assolini, Sicherheitsexperte bei Kaspersky. „Aktuell sehen wir dabei einen Trend, der zu einem Game-Changer bei der Verbreitung von Banking-Malware werden könnte: Regionale Akteure attackieren Anwender nicht mehr nur in ihrer Heimatregion, sondern rund um den Globus. Durch die Anwendung neuer Techniken konnten sich brasilianische Malware-Familien mittlerweile auf anderen Kontinenten ausbreiten. Die Malware Bizarro, die auch Anwender in Europa angreift, ist dafür das beste Beispiel. Sie sollte uns daher als deutlicher Hinweis dienen, dass mehr Augenmerk auf die Analyse regionaler krimineller Aktivitäten und lokaler Threat Intelligence gelegt werden muss. Und zwar noch bevor sich solche Machenschaften zu einem globalen Problem ausweiten können.“

Zum Schutz vor Banking-Trojanern wie Bizarro empfehlen Kaspersky-Experten Finanzinstituten folgende Maßnahmen:

  • Die Mitarbeiter im Security Operations Center (SOC) sollten Zugriff auf die neueste Threat Intelligence haben, um ständig über aufkommende Tools und Techniken von Cyberkriminellen informiert zu sein. Beispielsweise enthält Kaspersky Financial Threat Intelligence Reporting [4] IoCs (Indicators of Compromise), Yara-Regeln und Hashes für diese Bedrohungen.
  • Die Forscher und Analysten des Kaspersky Global Research and Analysis Team (GReAT) haben ein Online- Cybersecurity-Training für Experten [5] entwickelt, welches SOC-Teams in die Lage versetzt, neuartige gezielte Angriffe abzuwehren.
  • Auch Bankkunden müssen über mögliche Gefahren und die Tricks von Cyberkriminellen Bescheid wissen. In regelmäßigen Abständen sollten sie Informationen erhalten, wie sie Banking-Betrug erkennen und sich in dieser Situation verhalten können.
  • Die Installation von Anti-Fraud-Lösungen entlarvt auch komplexe Betrugsfälle. So ist zum Beispiel die Session-basierte Lösung Kaspersky Fraud Prevention [6] in der Lage, nicht nur schädliche Versuche wie JavaScript-Injektionen, versteckte Remote-Administration-Tool-Verbindungen oder Webseiten-Nutzung in der Anfangsphase eines Gelddiebstahls zu erkennen. Auch nachfolgende verdächtige Kontobewegungen oder Social-Engineering-Versuche werden identifizieren.

Weitere Informationen zu den technischen Merkmalen von Bizarro unter https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/

Eine Infografik zum Thema ist unter https://box.kaspersky.com/f/4096b9939a4b4c95bd28/ verfügbar.

[1] https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/.

[2] https://securelist.com/the-tetrade-brazilian-banking-malware/97779/

[3] Bei diesem Beispiel blockiert Bizarro die Online-Banking-Anmeldung, indem ein Pop-up den Nutzer über die Installation von Sicherheits-Updates informiert: https://box.kaspersky.com/f/c3f9d3352059434d99c2/

[4] https://www.kaspersky.de/enterprise-security/threat-intelligence

[5] https://xtraining.kaspersky.com/

[6] https://www.kaspersky.de/enterprise-security/fraud-prevention

Nützliche Links:

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 240.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/

 

Kaspersky entdeckt neuen Banking-Trojaner aus Brasilien mit weltweitem Operationsgebiet

Auch Deutschland betroffen
Kaspersky Logo