Anul trecut, cercetătorii Kaspersky au observat mai mulţi troieni bancari din America de Sud (Guildma, Javali, Melcoz şi Grandoreiro), extinzându-şi operaţiunile pe tot globul. Recunoscute colectiv ca „Tétrade”, aceste familii au folosit o varietate de tehnici noi, inovatoare şi sofisticate.
Advertisment
Potrivit unui comunicat al companiei, în anul 2021 au fost continuate aceste tendinţe – pe măsură ce un nou jucător local, Bizarro, a devenit global.
„Bizarro este o nouă familie troiană bancară originară din Brazilia, care este acum prezentă şi în alte ţări, precum Argentina, Chile, Germania, Spania, Portugalia, Franţa şi Italia. La fel ca Tétrade, Bizarro foloseşte afiliaţi sau recrutează atacatori specializaţi în domeniul financiar pentru a operaţionaliza atacurile, pentru a obţine bani sau, pur şi simplu, pentru a ajuta la traduceri. În acelaşi timp, criminalii cibernetici din spatele acestei familii de malware adoptă diverse metode tehnice pentru a complica analiza şi detectarea malware-ului, precum şi trucuri de inginerie socială care ajută la convingerea ţintelor în ceea ce priveşte furnizarea datelor personale bancare în mediul online”, se arată în comunicat.
Bizarro este distribuit prin pachete MSI (Microsoft Installer) descărcate de victime din link-uri trimise prin e-mailurile de tip spam. Odată lansat, Bizarro descarcă o arhivă ZIP de pe un site web compromis pentru a-şi implementa funcţiile rău intenţionate. După ce a trimis datele către serverul de telemetrie, Bizarro iniţializează modulul de captare a ecranului. Până acum, experţii Kaspersky au observant că Bizarro folosea servere disponibile pe Azure, Amazon şi servere WordPress compromise pentru a stoca malware-ul şi pentru a colecta telemetrie.
Cercetătorii Kaspersky subliniază că malware-ul de tip backdoor este componenta de bază a Bizarro. Acesta conţine peste 100 de comenzi şi cele mai multe dintre ele sunt utilizate pentru a afişa mesaje pop-up false utilizatorilor. Unele dintre ele încearcă chiar să imite sistemele bancare online.
Un exemplu de Bizarro care blochează o pagină de autentificare bancară şi îi spune utilizatorului că instalează actualizări de securitate.
„Infractorii cibernetici caută în permanenţă noi modalităţi de răspândire a programelor malware care fură acreditări pentru plăţi electronice şi legate de sistemele bancare online. Astăzi, asistăm la o tendinţă de schimbare a jocului în distribuţia malware-ului bancar – actorii regionali atacă în mod activ utilizatorii, nu numai în regiunea lor, ci în întreaga lume. Implementând noi tehnici, familiile de malware braziliene au început să fie distribuite pe alte continente, iar Bizarro, care vizează utilizatorii din Europa, este cel mai clar exemplu în acest sens. Ar trebui să fie un aspect important, pentru a pune un accent mai mare pe analiza criminalilor regionali şi a informaţiilor locale privind ameninţările, de îndată ce ar putea deveni o problemă serioasă la nivel global”, a declarat Fabio Assolini, expert în securitate la Kaspersky.