Um trojan bancário chamado “Bizarro”, originado no Brasil, cruzou as fronteiras e passou a ter como alvo clientes de 70 bancos localizados na Europa e América do Sul.

O malware, uma vez instalado em um sistema Windows, pode forçar a vítima a inserir as credenciais bancárias e usar técnicas de engenharia social para roubar códigos de autenticação de dois fatores.

Um trojan em constante expansão

O malware está em constante desenvolvimento, pois seu autor continua expandindo a lista de bancos alvos.

Um estudo realizado pela empresa de segurança cibernética kaspersky mostra que os alvos do Bizarro agora são clientes de bancos localizados na Europa (em países como Alemanha, Espanha, Portugal, França e Itália) e América do Sul (Brasil, Argentina e Chile).

"Bizarro": Trojan mira bancos da Europa e América do Sul [Ê Brasil!]

O malware se dissemina por meio de e-mails de phishing que normalmente vêm disfarçados de mensagens oficiais relacionadas a impostos, informando sobre obrigações pendentes.

Um link para download existente na mensagem baixa o Bizarro na forma de um arquivo MSI (executável instalador de programas Windows). Após ser executado, o trojan baixa de servidor hackeados do WordPress, Amazon e Azure um arquivo ZIP (compactado) que contém componentes maliciosos necessários para o ataque.

"Bizarro": Trojan mira bancos da Europa e América do Sul [Ê Brasil!]

Como o Bizarro funciona?

Após o Bizarro ser iniciado, ele encerrará todas as sessões existentes de sites de bancos, eliminando assim todos os processos do navegador, Isso força o usuário a inserir novamente as credenciais da conta, permitindo que o malware as colete.

O malware também pode desativar a função de preenchimento automático em um navegador para capturar as credenciais quando a vítima as digita manualmente.

Os pesquisadores da Kaspersky observam que o principal componente do Bizarro é a sua funcionalidade de backdoor (porta dos fundos), suportando mais de 100 comandos, a maioria deles sendo usados para exibir mensagens falsas em pop-ups aos usuários.

O componente entra em atividade somente após o malware ter enumerado todas as janelas/abas do navegador para verificar se há alguma conexão com um alguns dos sites de bancos para qual tem suporte.

O malware pode receber os seguintes tipos de comandos de seus servidor de comando e controle (C2):

  • Buscar dados sobre a vítima e gerenciar o status da conexão
  • Controlar arquivos no disco rígido
  • Controlar mouse e teclado
  • Desligar e reiniciar ou danificar o sistema operacional e limitar a funcionalidade do Windows
  • Registrar as teclas digitadas
  • Comandos que permitem ataques de engenharia social
  • Componente de engenharia social

Usando comandos específicos para o componente de backdoor, os operadores do Bizarro podem induzir os usuários a fornecer as informações de login da conta bancária, mostrando-lhes caixas de mensagens ou janelas solicitando dados de login ou códigos de autenticação de dois fatores.

As mensagens variam de notificações falsas solicitando que sejam inseridas informações novamente ou para inserir um código de confirmação relacionado a um erro falso informando que o sistema precisa ser reiniciado para concluir uma operação relacionada a segurança.

"Bizarro": Trojan mira bancos da Europa e América do Sul [Ê Brasil!]

Outro truque de engenharia social no arsenal de possibilidades do Bizarro é exibir imagens em JPEG contendo o logotipo de um banco-alvo e instruções para a vítima. Algumas dessas mensagens podem bloquear o acesso em toda a tela e ocultar a barra de tarefas, tornando mais difícil iniciar o Gerenciador de Tarefas.

A maioria das imagens tenta convencer a vítima de que seu sistema está comprometido ou que precisa de uma atualização, ou ainda, que componentes de segurança e desempenho do navegador precisam ser instalados.

"Bizarro": Trojan mira bancos da Europa e América do Sul [Ê Brasil!]

O componente de engenharia social também tenta induzir a vítima a instalar em seu smartphone um aplicativo bancário malicioso, que permite a coleta de credenciais e códigos confidenciais de dispositivos móveis.

Com base nos comandos suportados pelo trojan, um cenário de ataque em um computador comprometido começa com a vítima acessando um site bancário.

A função de keylogging no malware captura a senha da conta, e em seguida, mensagens falsas são mostradas para coletar o código de autenticação de dois fatores.

Os cibercriminosos podem ganhar algum tempo para tentar realizar alguma transação financeira, no momento em que aparece para o usuário um alerta falso do banco que bloqueia o acesso à tela.

"Bizarro": Trojan mira bancos da Europa e América do Sul [Ê Brasil!]

A Kaspersky diz que o Bizarro não é o único trojan bancário na América do Sul que se expande para a Europa. Outros malwares recentemente seguiram, conhecido como Guildma (ou Astaroth), Amalvado, Javali, Melcoz e Grandoreiro. Todos eles foram criados, desenvolvidos e se espalharam pelo Brasil e se expandiram para fora da América Latina.

Fonte:

https://www.bleepingcomputer.com/news/security/bizarro-banking-malware-targets-70-banks-in-europe-and-south-america/

Fonte da imagem usada na capa do post:

https://www.neuways.com/neuways-blog/a-trojan-horse-is-neigh-joke-heres-why/

O que achou?

Animado
0
Feliz
0
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...

More in:Security