Hackers brasileiros exportam trojan que ataca Internet Banking

Trojan Bizarro também é a sexta família de golpe financeiro que se expande para o exterior. França e Chile são os principais alvos.

Nossos pesquisadores descobriram um novo trojan brasileiro atacando consumidores na Europa e na América do Sul. Seguindo os passos do Tetrade, o Bizarro está preparado para roubar as credenciais de Internet Banking de 70 bancos no total. É a sexta família de malware nacional que usa o modelo de recrutamento e afiliação para expandir operações para outros países.

Ano passado, anunciamos a Tetrade, família formada pelos trojans Guildma, Javali, Melcoz e Grandoreiro – os primeiros a iniciarem a operação internacional. Mais para o fim do mesmo ano, foram anunciados as descobertas do Amavaldo e do Ghimob – este focado em fraudes no Mobile Banking. Conforme previsto por nossa Equipe Global de Pesquisa e Análise da Kaspersky na América Latina, esta tendência foi seguida por novas famílias – e a Bizarro é a primeira.

Além do Brasil, este trojan está atuando na Argentina, Alemanha, Chile, Espanha, França, Itália e Portugal. Assim como seus antecessores, o Bizarro está recrutando e se associando com mulas para operacionalizar o ataque no exterior, sendo que estes parceiros podem apoiar nas fraudes ou apenas atuar na retirada do dinheiro roubado. Tecnicamente, os desenvolvedores deste malware estão adotando uma variedade de técnicas para complicar a análise e detecção da infecção pelas soluções de segurança, assim como truques de engenharia social para convencer as vítimas a entregar suas credenciais bancárias.

O Bizarro é distribuído às vítimas por meio de mensagens de spam que irão baixar o instalador do programa malicioso (um pacote Microsoft Installer – MSI). Ao ser executado, acessa servidores comprometidos para baixar um arquivo ZIP com o malware que tem as funções bancárias. Após finalizar o processo de infecção, os dados são enviados para o servidor de telemetria do grupo e o trojan inicia seu módulo de captura de tela para roubar as credenciais. Outra função ativada é o monitoramento de carteiras Bitcoin. Caso seja encontrada uma, o trojan substitui o endereço para direcionar futuros créditos para a carteira dos criminosos.

Para nossos pesquisadores na América Latina, o acesso remoto ao computador infectado é a parte mais importante do Bizarro – é o que permite o roubo das credenciais financeiras – e, até o momento, ele monitora 70 bancos que operam na América do Sul e Europa. Além disso, este componente contém mais de 100 comandos que podem, por exemplo, exibir mensagens pop-up falsas para os usuários ou mostrar uma página falsa idêntica à do banco.

Exemplo de bloqueio de página de login informando o cliente que atualizações de segurança estão sendo instaladas

Exemplo de bloqueio de página de login informando o cliente que atualizações de segurança estão sendo instaladas

 

“O Bizarro é uma das famílias de trojans financeiro brasileira mais ativas no exterior, tendo a França e o Chile como principais alvos. Este sucesso se deve pela sofisticação do golpe. Para ser honesto, o acesso remoto já se tornou o padrão no Brasil – mas temos um dos melhores sistemas de segurança e antifraude para o Internet Banking do mundo e usar o dispositivo da vítima se tornou a única maneira de manter as fraudes. Por outro lado, isso exigiu uma especialização dos criminosos locais e resultou em uma vantagem competitiva quando passaram a exportar seu malware para países com uma segurança no Internet Banking mais baixa”, avalia Fabio Assolini, analista sênior da Kaspersky no Brasil .

Ele ressalta ainda que a internacionalização do malware brasileiro deve servir de sinal para instituições financeiras e demais empresas de cibersegurança. “Os métodos que o Bizarro utiliza para dificultar a análise e detecção das atividades maliciosas são incomuns fora do País”, explica. “Isto exige um alto conhecimento de como o cibercrime nacional funciona para poder proteger os clientes. Já do lado dos bancos e empresas que operam com criptomoedas, recomendo que busquem serviços de inteligência de ameaças com informações da região, principalmente se a instituição opera globalmente.”

Dicas