ShoppingSpirit News Marcas e Produtos em notícia
Bizarro é o novo malware bancário proveniente do Brasil que já está a deixar marcas por todo o mundo. Em Portugal, já afetou sete entidades bancárias, sendo que estes ataques também já lesaram bancos de outros países como Alemanha (seis entidades), França (oito entidades) e Espanha (22 entidades), um dos países europeus mais afetados pelo novo malware até agora.
Durante o ano passado, os especialistas da Kaspersky já tinham detetado vários trojans bancários provenientes da América do Sul (Guildma, Javali, Melcoz e Grandoreiro), que expandiam as suas operações a nível global. Conhecidas no seu conjunto como “Tétrade“, estas famílias utilizavam uma variedade de técnicas inovadoras e sofisticadas. Em 2021, esta tendência continua – mas, agora, com uma nova ameaça local, o malware “Bizarro”, que se tem vindo a expandir globalmente.
Para além de Portugal e dos países acima referidos, esta nova família de trojans bancários proveniente do Brasil pode agora ser encontrada em outras localidades europeias e sul-americanas, entre as quais a Argentina, Chile e Itália. Tal como a Tétrade, Bizarro está a utilizar afiliados ou a recrutar intermediários (money mules) para operacionalizar os seus ataques, procedendo a cobranças ou simplesmente ajudando com as traduções. Ao mesmo tempo, os cibercriminosos que estão por trás desta família de malware estão a adotar igualmente várias técnicas para dificultar a análise e a deteção do malware, servindo-se, por exemplo, de truques de engenharia social, que ajudam a convencer as vítimas a fornecerem as suas credenciais bancárias.
O malware Bizarro tem vindo a ser distribuído através de pacotes MSI (Microsoft Installer), descarregados pelas vítimas através de links enviados em e-mails de spam. Uma vez executado, o Bizarro descarrega um arquivo ZIP a partir de um website comprometido, para implementar as suas funções maliciosas adicionais. Depois de enviar os dados para o servidor de telemetria, o Bizarro inicia o módulo de captura de ecrã. Até agora, os investigadores da Kaspersky conseguiram descobrir que o Bizarro utiliza servidores alojados no Azure, na Amazon e em servidores do WordPress comprometidos, para armazenar o malware e recolher a telemetria.
Os investigadores da Kaspersky salientam ainda que a componente principal do Bizarro é a backdoor, que contém mais de 100 comandos e sua maioria é utilizada para enviar mensagens pop-up falsas aos utilizadores. Alguns deles tentam mesmo imitar os sistemas bancários online.
Exemplo: malware Bizarro a bloquear uma página de login bancário, informando o utilizador que estão a ser instaladas atualizações de segurança
“Os cibercriminosos estão constantemente à procura de novas formas de difundir malware, que lhes permitam roubar credenciais de sistemas de pagamento eletrónico e sistemas bancários online. Hoje em dia, estamos a assistir a uma tendência de mudança na distribuição de malware bancário: a globalização dos ataques. Os cibercriminosos regionais não só atacam ativamente os utilizadores da sua região, mas também em todo o mundo. Implementando novas técnicas, as famílias brasileiras de malware começaram a distribuir malware a outros continentes, e o Bizarro, que se dirige principalmente a utilizadores europeus, é um claro exemplo disso. Este malware deveria servir como um sinal para darmos mais atenção à análise dos atacantes regionais e das informações sobre ameaças locais, já que estes podem rapidamente converter-se num problema mundial”, reforça Fabio Assolini, especialista em segurança da Kaspersky.
Para saber mais sobre as características do Bizarro, viste a Securelist
Para proteger as instituições financeiras contra trojans bancários como o Bizarro (e outros), os especialistas da Kaspersky recomendam:
- Providenciar às equipas SOC total acesso às últimas informações sobre ciberameaças, mantendo-as atualizadas sobre as novas ferramentas e técnicas utilizadas pelos cibercriminosos. Por exemplo, o Kaspersky Financial Threat Intelligence Reporting contém IoCs, regras de Yara e hashes para estas ameaças;
- Melhorar as competências das equipas SOC para enfrentar as mais recentes ameaças dirigidas, com a formação online da Kaspersky desenvolvida por especialistas da GReAT;
- Informar os clientes sobre possíveis perigos e truques que os cibercriminosos podem usar. Enviar-lhes regularmente informações sobre como identificar fraudes e como agir nessa situação;
- Implementar uma solução antifraude que consiga detetar casos de fraude sofisticados. Por exemplo, com o Kaspersky Fraud Prevention, uma solução antifraude que assegura o início de cada sessão em sistemas bancários online, poderá combater não só tentativas maliciosas (injeção de JavaScript, ligação oculta a ferramentas de administração remota e utilização de websites) na fase de elaboração do roubo de dinheiro, mas também identificar posteriormente comportamentos incorretos nas contas e detetar casos de engenharia social.
