Além da credencial do Internet Banking, novo malware visa e-wallets, alerta Kaspersky

Os pesquisadores da Kaspersky descobriram um novo trojan brasileiro atacando consumidores na Europa e na América do Sul. Nomeado de Bizarro, ele está preparado para roubar as credenciais do Internet Banking de 70 bancos no total. Esta é a sexta família de malware nacional que usa o modelo de recrutamento e afiliação para expandir sua operação para outros países ao redor do mundo.

No ano passado, a Kaspesky anunciou o Tetrade, grupo formado pelos trojans Guildma, Javali, Melcoz e Grandoreiro – os primeiros a iniciarem a operação internacional. Mais para o fim do mesmo ano, foram anunciados as descobertas do Amavaldo e do Ghimob – este último focado em fraudes no Mobile Banking. Conforme previsto pela Equipe Global de Pesquisa e Análise da Kaspersky na América Latina nos prognósticos de cibersegurança para 2021, esta tendência foi seguida por novas famílias – e o Bizarro é a primeira delas.

Este trojan bancário está atuando, além do Brasil, na Argentina, Alemanha, Chile, Espanha, França, Itália e Portugal. Assim como seus antecessores, o Bizarro está recrutando e se associando com mulas para operacionalizar o ataque no exterior, sendo que estes parceiros podem apoiar nas fraudes ou apenas atuar na retirada do dinheiro roubado. Tecnicamente, os desenvolvedores deste malware estão adotando uma variedade de técnicas para complicar a análise e detecção da infecção pelas soluções de segurança, assim como truques de engenharia social para convencer as vítimas a entregar suas credenciais bancárias.

O Bizarro é distribuído às vítimas por meio de mensagens de spam que irão baixar o instalador do programa malicioso (um pacote Microsoft Installer – MSI). Ao ser executado, este realiza um novo download acessando servidores comprometidos para baixar um arquivo comprimido ZIP com o malware que tem as funções bancárias fraudulentas. Após finalizar o processo de infecção, os dados são enviados para o servidor de telemetria do grupo e o trojan inicia seu módulo de captura de tela para roubar as credenciais bancárias. Outra função ativada é o monitoramento de carteiras online de Bitcoin. Caso seja encontrado uma, o trojan substitui o endereço para direcionar futuros créditos para a carteira virtual dos criminosos.

Para os pesquisadores da Kaspersky na América Latina, o acesso remoto ao computador infectado é a parte mais importante do Bizarro, pois é o que permite o roubo das credenciais financeiras – e, até o momento, ele monitora 70 bancos que operam na América do Sul e na Europa. Além disso, este componente contém mais de 100 comandos que podem, por exemplo, exibir mensagens pop-up falsas para os usuários ou mostrar uma página falsa idêntica à do banco.

Exemplo de bloqueio de página de login informando o cliente que atualizações de segurança estão sendo instaladas

“O Bizarro é uma das famílias de trojans financeiro brasileira mais ativas no exterior, tendo a França e o Chile como principais alvos. Este sucesso se deve pela sofisticação do golpe. Para ser honesto, o acesso remoto já se tornou o padrão no Brasil – mas temos um dos melhores sistemas de segurança e antifraude para o Internet Banking do mundo e usar o dispositivo da vítima se tornou a única maneira de manter as fraudes. Por outro lado, isso exigiu uma especialização dos criminosos locais e resultou em uma vantagem competitiva quando eles passaram a exportar seu malware para países com uma segurança no Internet Banking mais baixa”, avalia Fabio Assolini, analista sênior da Kaspersky no Brasil .

Ele ressalta ainda que a internacionalização do malware brasileiro deve servir de sinal para instituições financeiras e demais empresas de cibersegurança. “Os métodos que o Bizarro utiliza para dificultar a análise e detecção das atividades maliciosas são incomuns fora do País, isto exige um alto conhecimento de como o cibercrime nacional funciona para poder proteger os clientes. Já do lado dos bancos e empresas que operam com criptomoedas, recomendo que busquem serviços de inteligências de ameaças com informações da região, principalmente se a instituição opera globalmente, pois este conhecimento protegerá a operação e os clientes onde quer que estejam.”

Para saber detalhes técnicos do Bizarro, acesso o relatório em Securelist.com.

Para aumentar a segurança dos bancos contra esta ameaça, a Kaspersky recomenda:

Permita que a equipe de segurança ou seu SOC (Centro Operacional de Segurança) tenha acesso a relatórios de Threat Intelligence com informações sobre as mais recentes ferramentas e técnicas usadas pelos cibercriminosos. Assinantes do Threat Intelligence Portal da Kaspersky tem acesso aos índices de comprometimentos (IoCs), regras Yara e hashes (todas formas de identificação) dessa e de outras ameaças.

Capacite a equipe para lidar com as ameaças direcionadas. A Kaspersky oferece treinamentos on-line desenvolvidos pelos especialistas do GReAT.

Informe os clientes sobre os perigos e golpes mais recentes. Mensagens educativas ajudam a reconhecer e prevenir os golpes.

Incentive que seus clientes tenham uma solução de segurança de qualidade, como o Kaspersky Security Cloud, para bloquear a tentativa de infecção do Bizarro e outros malware sofisticados.