Bizarro银行木马将攻击界线扩大到欧洲

下载的ZIP压缩包包含以下文件：

• 用Delphi编写的恶意DLL;
• 一个合法的可执行文件，它是AutoHotkey脚本运行程序(在某些示例中，使用AutoIt代替了AutoHotkey);
• 一个小的脚本，它是从恶意DLL调用导出的函数;

DLL导出一个包含恶意代码的函数，恶意程序开发人员使用混淆处理技术使代码分析变得复杂。输出函数的代码已被保护程序删除。属于导出函数的字节在运行时由DLL入口点函数恢复，这个入口点函数非常混淆。用于复杂分析的技巧包括常量扩展和垃圾代码插入。对于恶意程序开发人员来说，他们正在不断改进二进制文件的保护。在Bizarro的早期版本中，只有入口点函数受到保护，而在最近的示例中，该保护程序也被用来混淆所导入的API函数的调用。

当Bizarro启动时，它首先会杀死所有浏览器进程，以终止与网上银行网站的任何现有会话。当用户重新启动浏览器时，他们将被迫重新输入银行账户凭证，该凭据将被恶意程序捕获。为了获得尽可能多的凭据，Bizarro采取的另一个步骤是禁用浏览器中的自动完成函数。

Bizarro会收集运行系统的以下信息：

• 计算机名称;
• 操作系统版本;
• 默认浏览器名称;
• 已安装的杀毒程序程序名称;

Bizarro在发送POST请求时使用了'Mozilla / 4.0(compatible; MSIE 6.0; Windows NT 5.0')用户代理。该用户代理有错别字：兼容后应该有一个空格符号;缺少子字符串和右括号。研究表明，该漏洞尚未在最新版本中得到解决。此后，Bizarro在%userprofile%目录中创建了一个空文件，从而将系统标记为受感染。文件名是脚本运行程序的名称(AutoIt或AutoHotKey)，并添加.jkl扩展名。

将数据发送到监测服务器后，Bizarro初始化了屏幕捕获模块。它加载magnification.dll库，并获得了已弃用的MagSetImageScalingCallback API函数的地址。借助其帮助，该木马程序可以捕获用户的屏幕，并不断监视系统剪贴板，以寻找比特币钱包地址。如果找到，它就会被恶意程序开发者的钱包代替。

这个后门是Bizarro的核心组件：它包含100多条命令，让攻击者可以窃取网上银行账户凭证。大多数命令用于向用户显示伪造的弹出消息。在Bizarro检测到与某个硬编码在线银行系统的连接之前，后门的核心组件不会启动。恶意程序通过列举所有窗口并收集其名称来实现此目的。从窗口名称字符串中删除空格字符，带有重音的字母(例如ñ或á)和非字母符号(例如破折号)。如果窗口名称与其中一个硬编码字符串匹配，则后门将继续启动。

后门要做的第一件事是通过执行ipconfig /flushdns命令删除DNS缓存。这样做是为了防止连接到被阻止的IP。在那之后，恶意程序将域名解析为IP地址，创建一个套接字并将其绑定到解析的地址。如果连接成功，它将创建%userprofile% bizarro.txt文件。

后门及其C2

Bizarro从其C2接收的命令可以分为以下几类：

(1) 允许C2操作员获取受害者数据并管理连接状态的命令。

(2) 允许攻击者控制受害者硬盘上文件的命令。

(3) 允许攻击者控制用户的鼠标和键盘的命令。

在carmena命令的帮助下，Bizarro还可以操作用户的键盘(用户实际输入的内容)。

(4) 允许攻击者控制后门操作、关闭、重启或破坏操作系统和限制Windows函数的命令。

LkingWajuGhkzwu命令关闭后门，而vkbAlcvtlY命令将BAT文件拖放到工作目录中。批处理脚本负责从磁盘删除恶意程序。

(5) 记录按键的命令。

Bizarro支持两个负责键盘记录的命令，COZUMEL命令启动日志记录进程，而COZUMARIA命令则停止它。

(6) 执行社会工程攻击的命令。

这些命令显示各种消息，诱骗用户让攻击者进入银行账户。显示的消息类型从简单的消息框到精心设计的带有银行日志的窗口，都让人误以为这是真的网站。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!