Um trojan bancário chamado Bizarro, originário do Brasil, cruzou as fronteiras e passou a ter como alvo clientes de 70 bancos na Europa e América do Sul.
Uma vez instalado em um sistema Windows, o malware pode forçar os usuários a inserir credenciais bancárias e usar a engenharia social para roubar códigos de autenticação de dois fatores.
A expansão
O Bizarro está em constante desenvolvimento, pois seu autor continua expandindo a lista de bancos de apoio e eles a modificam para melhorar as proteções anti-análise.
Estatísticas da empresa de segurança cibernética Kaspersky mostram que os alvos da Bizarro são agora clientes de bancos na Europa (Alemanha, Espanha, Portugal, França, Itália) e América do Sul (Chile, Argentina, Brasil).
O malware se espalha por meio de e-mails de phishing que normalmente são disfarçados como mensagens oficiais relacionadas a impostos informando sobre obrigações pendentes.
O link de download na mensagem recupera o Bizarro como um pacote MSI. Depois de ser lançado, o malware baixa dos servidores hackeados do WordPress, Amazon e Azure um arquivo ZIP com componentes maliciosos necessários para o ataque.
Funcionalidade bizarro
Depois de iniciar, o Bizarro encerrará todas as sessões existentes com serviços bancários online eliminando todos os processos do navegador. Isso força o usuário a inserir novamente as credenciais da conta bancária, permitindo que o malware as colete.
O malware também pode desativar a função de preenchimento automático em um navegador da web para capturar as credenciais de login quando a vítima as digita manualmente.
Pesquisadores da Kaspersky Nota que o principal componente do Bizarro é sua funcionalidade backdoor, que suporta mais de 100 comandos, a maioria deles “usados para exibir falsas mensagens pop-up aos usuários”.
O componente torna-se ativo somente depois que o malware enumera todas as janelas para verificar se há uma conexão com um dos sites de bancos com suporte.
A Bizarro pode receber os seguintes tipos de comandos de seu servidor de comando e controle:
- buscar dados sobre a vítima e gerenciar o status da conexão
- permitir o controle dos arquivos no disco rígido
- permite o controle do mouse e teclado
- desligue, reinicie ou destrua o sistema operacional e limite a funcionalidade do Windows
- registrar as teclas digitadas
- comandos que permitem ataques de engenharia social
O componente de engenharia social
Usando comandos específicos para o componente backdoor, os operadores da Bizarro podem induzir os usuários a fornecer as informações de login da conta bancária, mostrando-lhes caixas de mensagens ou janelas solicitando dados de login ou códigos de autenticação de dois fatores.
Usando comandos específicos para o componente backdoor, os operadores da Bizarro podem induzir os usuários a fornecer informações confidenciais, mostrando-lhes caixas de mensagens ou janelas personalizadas.
As mensagens variam de notificações falsas solicitando os detalhes novamente ou pedindo para inserir um código de confirmação a um erro falso informando que o sistema precisa ser reiniciado para concluir uma operação relacionada à segurança.
Outro truque de engenharia social no chapéu de Bizarro é exibir imagens JPEG contendo o logotipo de um banco-alvo e instruções para a vítima.
Algumas dessas mensagens podem bloquear o acesso a toda a tela e ocultar a barra de tarefas, tornando mais difícil iniciar o Gerenciador de Tarefas.
A maioria das imagens tenta convencer a vítima de que seu sistema está comprometido ou precisa de uma atualização, ou que os componentes de segurança e desempenho do navegador precisam ser instalados.
O componente de engenharia social se expande para induzir as vítimas a instalar em seus telefones um aplicativo bancário fraudulento, que permite a coleta de credenciais e códigos confidenciais de dispositivos móveis.
Com base nos comandos suportados pelo trojan, um cenário de ataque em um computador comprometido começa com a vítima acessando um site bancário.
A função de keylogging no malware captura a senha da conta e, em seguida, mensagens falsas são mostradas para coletar o código de autenticação de dois fatores.
Os cibercriminosos podem ganhar algum tempo para preparar uma transação fraudulenta, mostrando um alerta falso do banco que bloqueia o acesso à tela.
Kaspersky diz que o Bizarro não é o único cavalo de Troia bancário na América do Sul que se expande para a Europa. Outro malware seguiu o mesmo caminho recentemente, ou seja, Guildma (também conhecido como Astaroth), Amalvado, Javali, Melcoz, e Grandoreiro. Todos eles foram criados, desenvolvidos e se espalharam pelo Brasil e se expandiram para fora da América Latina.
“Guru da comida. Fanático por bacon. Apaixonado por tv. Especialista em zumbis. Aficionado freelance da cultura pop.”