Segurança

Trojan brasileiro Bizarro rouba credenciais de acesso a 70 bancos

Um novo trojan brasileiro, batizado de Bizarro, ataca consumidores na Europa e na América do Sul. Segundo a empresa de softwares de segurança Kaspersky, ele rouba credenciais do Internet Banking de 70 bancos no total. Esta é a sexta família de malware nacional que usa o modelo de recrutamento e afiliação para expandir sua operação para outros países ao redor do mundo.

No ano passado, já tinha sido identificado o Tetrade, grupo formado pelos trojans Guildma, Javali, Melcoz e Grandoreiro, os primeiros a iniciarem a operação internacional. Mais para o fim do mesmo ano, foram anunciados as descobertas do Amavaldo e do Ghimob – este último focado em fraudes no Mobile Banking. Conforme previsto pela Equipe Global de Pesquisa e Análise da Kaspersky na América Latina nos prognósticos de cibersegurança para 2021, esta tendência foi seguida por novas famílias – e o Bizarro é a primeira delas.

Este trojan bancário está atuando, além do Brasil, na Argentina, Alemanha, Chile, Espanha, França, Itália e Portugal. Assim como seus antecessores, o Bizarro está recrutando e se associando com mulas para operacionalizar o ataque no exterior, sendo que estes parceiros podem apoiar nas fraudes ou apenas atuar na retirada do dinheiro roubado. Tecnicamente, os desenvolvedores deste malware estão adotando uma variedade de técnicas para complicar a análise e detecção da infecção pelas soluções de segurança, assim como truques de engenharia social para convencer as vítimas a entregar suas credenciais bancárias.

O Bizarro é distribuído às vítimas por meio de mensagens de spam que irão baixar o instalador do programa malicioso (um pacote Microsoft Installer – MSI). Ao ser executado, este realiza um novo download acessando servidores comprometidos para baixar um arquivo comprimido ZIP com o malware que tem as funções bancárias fraudulentas. Após finalizar o processo de infecção, os dados são enviados para o servidor de telemetria do grupo e o trojan inicia seu módulo de captura de tela para roubar as credenciais bancárias. Outra função ativada é o monitoramento de carteiras online de Bitcoin. Caso seja encontrado uma, o trojan substitui o endereço para direcionar futuros créditos para a carteira virtual dos criminosos.

Segundo os pesquisadores que identificaram esse trojan bancário, o acesso remoto ao computador infectado é a parte mais importante do Bizarro, pois é o que permite o roubo das credenciais financeiras – e, até o momento, ele monitora 70 bancos que operam na América do Sul e na Europa. Além disso, este componente contém mais de 100 comandos que podem, por exemplo, exibir mensagens pop-up falsas para os usuários ou mostrar uma página falsa idêntica à do banco.


Botão Voltar ao topo