NUOVO MALWARE BANCARIO DAL NOME "BIZARRO"

cards-3252979_1280_900x400.png

Questo nuovo malware bancario sottrae le credenziali di accesso di 70 banche tra Europa e America.

 

I ricercatori della nota società russa Kaspersky hanno recentemente scoperto un nuovo Malware per sistemi Windows, soprannominato “Bizarro”, il cui scopo principale è trafugare le informazioni di accesso bancario nei sistemi infetti.

L’infezione da parte di Bizarro inizia tramite una mail di Spam, contenente al suo interno un link che porta l’utente ad eseguire un file avente estensione .msi all’interno del proprio sistema. L’estensione .msi indica un pacchetto di installazione di Microsoft Windows. Nel caso di Bizarro il pacchetto di installazione viene utilizzato per effettuare il download di un pacchetto ZIP, contenente i seguenti elementi:

  • Una libreria di sistema (DLL) avente al suo interno codice malevolo
  • Un eseguibile che permette l’interpretazione del linguaggio di scripting “AutoHotkey”
  • Uno script che richiama la libreria di sistema presente all’interno dell’archivio ZIP

Tramite questi elementi viene inserita all’interno del sistema operativo la libreria “malevola”, assicurando anche la sua esecuzione ad ogni avvio del sistema.

A seguito della sua attivazione, la prima azione effettuata da Bizarro è terminare tutte le finestre di navigazione, in modo da costringere l’utente a re-inserire le sue credenziali di accesso ai sistemi bancari al loro prossimo utilizzo.

Successivamente il malware tenta di prelevare i seguenti dati dal PC infetto:

  • Nome del computer
  • Versione del Sistema Operativo
  • Browser Internet predefinito
  • Il nome del sistema antivirus installato

All’interno della DLL è presente una complessa backdoor che permette all’attaccante remoto di interagire con il sistema infetto tramite più di 100 comandi, che permettono il furto delle credenziali di accesso ai sistemi bancari.

L’attivazione del Malware avviene solamente quando l’utente visita, attraverso il suo PC, uno dei sistemi bancari presenti all’interno del codice del Malware: in quel momento il sistema invia un avviso ad un sistema remoto, controllato dall’attaccante, e attiva la backdoor che consente all’attaccante di controllare l’attività dell’utente, registrare i tasti premuti e inviare finestre di pop-up.

Attraverso queste funzionalità l’attaccante remoto tenta di trafugare le credenziali di accesso dell’utente al sistema bancario.

Consigliamo per la protezione in generale del vostro sistema di non eseguire allegati e-mail provenienti da fonti non attendibili, e verificare costantemente che l’antivirus presente sul vostro sistema sia attivo ed aggiornato.

Per verificare manualmente un’eventuale infezione del vostro PC da parte del Malware denominato “Bizarro”, potete ricercare la presenza di un file denominato “bizarro.txt” all’interno della directory “%systemprofile%”. Nel caso di una sospetta infezione del vostro PC da parte di Bizarro, vi raccomandiamo di scollegarlo immediatamente da Internet e rivolgervi all’assistenza tecnica.

Maggiori dettagli possono essere reperiti all’interno dell’articolo pubblicato al seguente indirizzo: https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/

 

 

Tags: GRUPPO ALTEA

Copyright © 2018 GRUPPO ALTEA - Tutti i diritti riservati - Credits

Privacy Policy Cookie Policy