GAT Digital Banner
GAT Digital Banner
trojan-bancario.jpg

Trojan brasileiro ataca correntistas na AL e países da Europa

Trojan Bizarro também é a sexta família de golpe financeiro que se expande para o exterior. França e Chile são os principais alvos
Da Redação
19/05/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um novo trojan brasileiro está atacando consumidores na Europa e na América do Sul. Nomeado de Bizarro, ele está preparado para roubar credenciais de internet banking de 70 bancos no total, de acordo com pesquisadores da Kaspersky. Segundo eles, esta é a sexta família de malware nacional que usa o modelo de recrutamento e afiliação para expandir sua operação para outros países ao redor do mundo. 

No ano passado, a Kaspersky anunciou o Tetrade, grupo formado pelos trojans Guildma, Javali, Melcoz e Grandoreiro — os primeiros a iniciarem a operação internacional. Mais para o fim do mesmo ano, foram anunciados as descobertas do Amavaldo e do Ghimob, este último focado em fraudes no mobile banking. Conforme previsto pela Equipe Global de Pesquisa e Análise da Kaspersky na América Latina nos prognósticos de cibersegurança para 2021, esta tendência foi seguida por novas famílias — e o Bizarro é a primeira delas. 

Este trojan bancário está atuando, além do Brasil, na Argentina, Alemanha, Chile, Espanha, França, Itália e Portugal. Assim como seus antecessores, o Bizarro está recrutando e se associando com mulas para operacionalizar o ataque no exterior, sendo que estes parceiros podem apoiar nas fraudes ou apenas atuar na retirada do dinheiro roubado. Tecnicamente, os desenvolvedores deste malware estão adotando uma variedade de técnicas para complicar a análise e detecção da infecção pelas soluções de segurança, assim como truques de engenharia social para convencer as vítimas a entregar suas credenciais bancárias. 

O Bizarro é distribuído às vítimas por meio de mensagens de spam que irão baixar o instalador do programa malicioso (um pacote Microsoft Installer – MSI). Ao ser executado, este realiza um novo download acessando servidores comprometidos para baixar um arquivo comprimido ZIP com o malware que tem as funções bancárias fraudulentas. Após finalizar o processo de infecção, os dados são enviados para o servidor de telemetria do grupo e o trojan inicia seu módulo de captura de tela para roubar as credenciais bancárias. Outra função ativada é o monitoramento de carteiras online de Bitcoin. Caso seja encontrado uma, o trojan substitui o endereço para direcionar futuros créditos para a carteira virtual dos criminosos. 

Veja isso
Cibercriminosos usam trojan IcedID em ataques que exploram o tema covid-19
Trojan ‘Janeleiro’ volta a atacar clientes de vários bancos no Brasil

Para os pesquisadores da Kaspersky na América Latina, o acesso remoto ao computador infectado é a parte mais importante do Bizarro, pois é o que permite o roubo das credenciais financeiras — e, até o momento, ele monitora 70 bancos que operam na América do Sul e na Europa. Além disso, este componente contém mais de 100 comandos que podem, por exemplo, exibir mensagens pop-up falsas para os usuários ou mostrar uma página falsa idêntica à do banco.

“O Bizarro é uma das famílias de trojans financeiro brasileira mais ativas no exterior, tendo a França e o Chile como principais alvos. Este sucesso se deve pela sofisticação do golpe. Para ser honesto, o acesso remoto já se tornou o padrão no Brasil – mas temos um dos melhores sistemas de segurança e antifraude para o Internet Banking do mundo e usar o dispositivo da vítima se tornou a única maneira de manter as fraudes. Por outro lado, isso exigiu uma especialização dos criminosos locais e resultou em uma vantagem competitiva quando eles passaram a exportar seu malware para países com uma segurança no Internet Banking mais baixa”, avalia Fabio Assolini, analista sênior da Kaspersky no Brasil. 

Ele ressalta ainda que a internacionalização do malware brasileiro deve servir de sinal para instituições financeiras e demais empresas de cibersegurança. “Os métodos que o Bizarro utiliza para dificultar a análise e detecção das atividades maliciosas são incomuns fora do País, isto exige um alto conhecimento de como o cibercrime nacional funciona para poder proteger os clientes. Já do lado dos bancos e empresas que operam com criptomoedas, recomendo que busquem serviços de inteligências de ameaças com informações da região, principalmente se a instituição opera globalmente, pois este conhecimento protegerá a operação e os clientes onde quer que estejam.”

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório