Банковский троян Bizarro атаковал клиентов по крайней мере 70 банков в Европе.
Исследователи сообщили, что банковский троян теперь атакует не только пользователей из Бразилии, но также из Аргентины, Китая, Испании, Португалии, Франции и Италии.
Троян распространяется через спам-сообщения, которые содержат установочный пакет MSI. Злоумышленники используют методы социальной инженерии, чтобы потенциальные жертвы запустили установщик. Сообщения выглядят как уведомления из налоговой.
После запуска установщик скачивает архив .ZIP, который содержит вредоносный .DLL, написанный на языке Delphi, скрипт AutoHotkey и скрипт, который вызывает функцию экспорта из .DLL. Эта функция содержит вредоносный код.
В начале троян удаляет все существующие процессы в браузере, включая все активные сессии с сервисами онлайн-банкинга. Когда жертва перезапускает сессии, Bizarro перехватывает учетные данные и отправляет на сервер контроля и управления хакеров.
Малварь также может запросить жертву скачать вредоносное приложение на телефон якобы для дополнительной аутентификации. Она может делать скриншоты, использовать кейлоггер, отслеживать буфер обмена на предмет наличия адресов кошельков для криптовалюты.
