Anul trecut, cercetatorii Kaspersky au observat mai multi troieni bancari din America de Sud (Guildma, Javali, Melcoz si Grandoreiro), extinzandu-si operatiunile pe tot globul. Recunoscute colectiv ca „Tétrade”, aceste familii au folosit o varietate de tehnici noi, inovatoare si sofisticate. In anul 2021 au fost continuate aceste tendinte – pe masura ce un nou jucator local, Bizarro, a devenit global.

Bizarro este o noua familie troiana bancara originara din Brazilia, care este acum prezenta si in alte tari, precum Argentina, Chile, Germania, Spania, Portugalia, Franta si Italia. La fel ca Tétrade, Bizarro foloseste afiliati sau recruteaza atacatori specializati in domeniul financiar pentru a operationaliza atacurile, pentru a obtine bani sau, pur si simplu, pentru a ajuta la traduceri. In acelasi timp, criminalii cibernetici din spatele acestei familii de malware adopta diverse metode tehnice pentru a complica analiza si detectarea malware-ului, precum si trucuri de inginerie sociala care ajuta la convingerea tintelor in ceea ce priveste furnizarea datelor personale bancare in mediul online.

Bizarro este distribuit prin pachete MSI (Microsoft Installer) descarcate de victime din link-uri trimise prin e-mailurile de tip spam. Odata lansat, Bizarro descarca o arhiva ZIP de pe un site web compromis pentru a-si implementa functiile rau intentionate.

Ce au descoperit experții Kaspersky

Dupa ce a trimis datele catre serverul de telemetrie, Bizarro initializeaza modulul de captare a ecranului. Pana acum, expertii Kaspersky au observant ca Bizarro folosea servere disponibile pe Azure, Amazon si servere WordPress compromise pentru a stoca malware-ul si pentru a colecta telemetrie.

Cercetatorii Kaspersky subliniaza ca malware-ul de tip backdoor este componenta de baza a Bizarro. Acesta contine peste 100 de comenzi si cele mai multe dintre ele sunt utilizate pentru a afisa mesaje pop-up false utilizatorilor. Unele dintre ele incearca chiar sa imite sistemele bancare online.

Un exemplu de Bizarro care blocheaza o pagina de autentificare bancara si ii spune utilizatorului ca instaleaza actualizari de securitate

„Infractorii cibernetici cauta in permanenta noi modalitati de raspandire a programelor malware care fura acreditari pentru plati electronice si legate de sistemele bancare online. Astazi, asistam la o tendinta de schimbare a jocului in distributia malware-ului bancar – actorii regionali ataca in mod activ utilizatorii, nu numai in regiunea lor, ci in intreaga lume

. Implementand noi tehnici, familiile de malware braziliene au inceput sa fie distribuite pe alte continente, iar Bizarro, care vizeaza utilizatorii din Europa, este cel mai clar exemplu in acest sens. Ar trebui sa fie un aspect important, pentru a pune un accent mai mare pe analiza criminalilor regionali si a informatiilor locale privind amenintarile, de indata ce ar putea deveni o problema serioasa la nivel global”, spune Fabio Assolini, expert in securitate la Kaspersky.

Recomandările experților Kaspersky

  • Oferiti echipei dumneavoastra SOC acces la cele mai recente informatii legate de amenintarile cibernetice pentru a le mentine la curent cu noile instrumente si tehnici utilizate de infractorii cibernetici. De exemplu, Kaspersky Financial Threat Intelligence Reporting contine IoC, reguli Yara si hash-uri pentru aceste amenintari.
  • Pregatiti echipa SOC pentru cele mai recente amenintari tintite, prin sesiunile de training online oferite de Kaspersky, dezvoltate de expertii GReAT.
  • Educati-va clientii cu privire la posibilele pericole si trucuri pe care le pot folosi atacatorii. Trimiteti-le periodic informatii despre cum sa identifice frauda si cum sa actioneze in aceste situatii.
  • Implementati o solutie antifrauda care poate detecta cazuri sofisticate. De exemplu, Kaspersky Fraud Prevention, o solutie antifrauda, poate nu doar sa combata incercarile rau intentionate (injectia JavaScript, conexiunea ascunsa a instrumentelor de administrare la distanta si utilizarea site-ului web) in etapa de incubatie a furtului de bani, dar si sa identifice comportamente ulterioare in cont si sa detecteze cazuri de inginerie sociala.