O malware do Bizarro banking tem como alvo 70 bancos na Europa e América do Sul

Um trojan bancário chamado Bizarro, originário do Brasil, cruzou as fronteiras e passou a ter como alvo clientes de 70 bancos na Europa e América do Sul.

Uma vez instalado em um sistema Windows, o malware pode forçar os usuários a inserir credenciais bancárias e usar a engenharia social para roubar códigos de autenticação de dois fatores.

A expansão

O Bizarro está em constante desenvolvimento, pois seu autor continua expandindo a lista de bancos de apoio e eles a modificam para melhorar as proteções anti-análise.

Estatísticas da empresa de segurança cibernética Kaspersky mostram que os alvos da Bizarro são agora clientes de bancos na Europa (Alemanha, Espanha, Portugal, França, Itália) e América do Sul (Chile, Argentina, Brasil).

Incidência de trojan pervertido

O malware se espalha por meio de e-mails de phishing que normalmente são disfarçados como mensagens oficiais relacionadas a impostos informando sobre obrigações pendentes.

O link de download na mensagem recupera o Bizarro como um pacote MSI. Depois de ser lançado, o malware baixa dos servidores hackeados do WordPress, Amazon e Azure um arquivo ZIP com componentes maliciosos necessários para o ataque.

Email de phishing distribuindo malware Bizarro

Funcionalidade bizarro

Depois de iniciar, o Bizarro encerrará todas as sessões existentes com serviços bancários online eliminando todos os processos do navegador. Isso força o usuário a inserir novamente as credenciais da conta bancária, permitindo que o malware as colete.

O malware também pode desativar a função de preenchimento automático em um navegador da web para capturar as credenciais de login quando a vítima as digita manualmente.

Pesquisadores da Kaspersky Nota que o principal componente do Bizarro é sua funcionalidade backdoor, que suporta mais de 100 comandos, a maioria deles “usados ​​para exibir falsas mensagens pop-up aos usuários”.

O componente torna-se ativo somente depois que o malware enumera todas as janelas para verificar se há uma conexão com um dos sites de bancos com suporte.

A Bizarro pode receber os seguintes tipos de comandos de seu servidor de comando e controle:

  • buscar dados sobre a vítima e gerenciar o status da conexão
  • permitir o controle dos arquivos no disco rígido
  • permite o controle do mouse e teclado
  • desligue, reinicie ou destrua o sistema operacional e limite a funcionalidade do Windows
  • registrar as teclas digitadas
  • comandos que permitem ataques de engenharia social

O componente de engenharia social

Usando comandos específicos para o componente backdoor, os operadores da Bizarro podem induzir os usuários a fornecer as informações de login da conta bancária, mostrando-lhes caixas de mensagens ou janelas solicitando dados de login ou códigos de autenticação de dois fatores.

Usando comandos específicos para o componente backdoor, os operadores da Bizarro podem induzir os usuários a fornecer informações confidenciais, mostrando-lhes caixas de mensagens ou janelas personalizadas.

As mensagens variam de notificações falsas solicitando os detalhes novamente ou pedindo para inserir um código de confirmação a um erro falso informando que o sistema precisa ser reiniciado para concluir uma operação relacionada à segurança.

Bizarro mensagens falsas

Outro truque de engenharia social no chapéu de Bizarro é exibir imagens JPEG contendo o logotipo de um banco-alvo e instruções para a vítima.

Algumas dessas mensagens podem bloquear o acesso a toda a tela e ocultar a barra de tarefas, tornando mais difícil iniciar o Gerenciador de Tarefas.

A maioria das imagens tenta convencer a vítima de que seu sistema está comprometido ou precisa de uma atualização, ou que os componentes de segurança e desempenho do navegador precisam ser instalados.

Mensagens falsas de trojan bizarro

O componente de engenharia social se expande para induzir as vítimas a instalar em seus telefones um aplicativo bancário fraudulento, que permite a coleta de credenciais e códigos confidenciais de dispositivos móveis.

Com base nos comandos suportados pelo trojan, um cenário de ataque em um computador comprometido começa com a vítima acessando um site bancário.

A função de keylogging no malware captura a senha da conta e, em seguida, mensagens falsas são mostradas para coletar o código de autenticação de dois fatores.

Os cibercriminosos podem ganhar algum tempo para preparar uma transação fraudulenta, mostrando um alerta falso do banco que bloqueia o acesso à tela.

Cenário de ataque de trojan bizarro

Kaspersky diz que o Bizarro não é o único cavalo de Troia bancário na América do Sul que se expande para a Europa. Outro malware seguiu o mesmo caminho recentemente, ou seja, Guildma (também conhecido como Astaroth), Amalvado, Javali, Melcoz, e Grandoreiro. Todos eles foram criados, desenvolvidos e se espalharam pelo Brasil e se expandiram para fora da América Latina.

Teremos o maior prazer em ouvir seus pensamentos

      Deixe uma Comentário


      Copyright © N1 Sergipe.
      n1sergipe.com.br is a participant in the Amazon Services LLC Associates Program, an affiliate advertising program designed to provide a means for sites to earn advertising fees by advertising and linking to Amazon.com.br. Amazon, the Amazon logo, AmazonSupply, and the AmazonSupply logo are trademarks of Amazon.com, Inc. or its affiliates.
      ….
      N1 Sergipe