Cercetătorii Kaspersky au descoperit un nou malware bancar din Brazilia, numit Bizarro, care vizează 70 de bănci din diferite țări europene și sud-americane.
Anul trecut, cercetătorii Kaspersky au observat mai mulți troieni bancari din America de Sud (Guildma, Javali, Melcoz și Grandoreiro), extinzându-și operațiunile pe tot globul. Recunoscute colectiv ca „Tétrade”, aceste familii au folosit o varietate de tehnici noi, inovatoare și sofisticate. În anul 2021 au fost continuate aceste tendințe – pe măsură ce un nou jucător local, Bizarro, a devenit global.
Bizarro este o nouă familie troiană bancară originară din Brazilia, care este acum prezentă și în alte țări, precum Argentina, Chile, Germania, Spania, Portugalia, Franța și Italia. La fel ca Tétrade, Bizarro folosește afiliați sau recrutează atacatori specializați în domeniul financiar pentru a operaționaliza atacurile, pentru a obține bani sau, pur și simplu, pentru a ajuta la traduceri. În același timp, criminalii cibernetici din spatele acestei familii de malware adoptă diverse metode tehnice pentru a complica analiza și detectarea malware-ului, precum și trucuri de inginerie socială care ajută la convingerea țintelor în ceea ce privește furnizarea datelor personale bancare în mediul online.
Bizarro este distribuit prin pachete MSI (Microsoft Installer) descărcate de victime din link-uri trimise prin e-mailurile de tip spam. Odată lansat, Bizarro descarcă o arhivă ZIP de pe un site web compromis pentru a-și implementa funcțiile rău intenționate. După ce a trimis datele către serverul de telemetrie, Bizarro inițializează modulul de captare a ecranului. Până acum, experții Kaspersky au observat că Bizarro folosea servere disponibile pe Azure, Amazon și servere WordPress compromise pentru a stoca malware-ul și pentru a colecta telemetrie.
Cercetătorii Kaspersky subliniază că malware-ul de tip backdoor este componenta de bază a Bizarro. Acesta conține peste 100 de comenzi și cele mai multe dintre ele sunt utilizate pentru a afișa mesaje pop-up false utilizatorilor. Unele dintre ele încearcă chiar să imite sistemele bancare online.
Un exemplu de Bizarro care blochează o pagină de autentificare bancară și îi spune utilizatorului că instalează actualizări de securitate
„Infractorii cibernetici caută în permanență noi modalități de răspândire a programelor malware care fură acreditări pentru plăți electronice și legate de sistemele bancare online. Astăzi, asistăm la o tendință de schimbare a jocului în distribuția malware-ului bancar – actorii regionali atacă în mod activ utilizatorii, nu numai în regiunea lor, ci în întreaga lume. Implementând noi tehnici, familiile de malware braziliene au început să fie distribuite pe alte continente, iar Bizarro, care vizează utilizatorii din Europa, este cel mai clar exemplu în acest sens. Ar trebui să fie un aspect important, pentru a pune un accent mai mare pe analiza criminalilor regionali și a informațiilor locale privind amenințările, de îndată ce ar putea deveni o problemă serioasă la nivel global”, spune Fabio Assolini, expert în securitate la Kaspersky.
Aflați mai multe despre caracteristicile tehnice ale malware-ului Bizarro pe Securelist.com.
Pentru a proteja instituțiile financiare de troieni bancari precum Bizarro (și alții), experții Kaspersky recomandă:
- Oferiți echipei dumneavoastră SOC acces la cele mai recente informații legate de amenințările cibernetice pentru a le menține la curent cu noile instrumente și tehnici utilizate de infractorii cibernetici. De exemplu, Kaspersky Financial Threat Intelligence Reporting conține IoC, reguli Yara și hash-uri pentru aceste amenințări.
- Pregătiți echipa SOC pentru cele mai recente amenințări țintite, prin sesiunile de training online oferite de Kaspersky, dezvoltate de experții GReAT.
- Educați-vă clienții cu privire la posibilele pericole și trucuri pe care le pot folosi atacatorii. Trimiteți-le periodic informații despre cum să identifice frauda și cum să acționeze în aceste situații.
- Implementați o soluție antifraudă care poate detecta cazuri sofisticate. De exemplu, Kaspersky Fraud Prevention, o soluție antifraudă, poate nu doar să combată încercările rău intenționate (injecția JavaScript, conexiunea ascunsă a instrumentelor de administrare la distanță și utilizarea site-ului web) în etapa de incubație a furtului de bani, dar și să identifice comportamente ulterioare în cont și să detecteze cazuri de inginerie socială.