Os pesquisadores da Kaspersky descobriram um novo trojan brasileiro atacando consumidores na Europa e na América do Sul. Nomeado de Bizarro, ele está preparado para roubar as credenciais do Internet Banking de 70 bancos no total. Esta é a sexta família de malware nacional que usa o modelo de recrutamento e afiliação para expandir sua operação para outros países ao redor do mundo.
No ano passado, a Kaspesky anunciou o Tetrade, grupo formado pelos trojans Guildma, Javali, Melcoz e Grandoreiro – os primeiros a iniciarem a operação internacional. Mais para o fim do mesmo ano, foram anunciados as descobertas do Amavaldo e do Ghimob – este último focado em fraudes no Mobile Banking. Conforme previsto pela Equipe Global de Pesquisa e Análise da Kaspersky na América Latina nos prognósticos de cibersegurança para 2021, esta tendência foi seguida por novas famílias – e o Bizarro é a primeira delas.
Segundo a empresa, este trojan bancário está atuando, além do Brasil, na Argentina, Alemanha, Chile, Espanha, França, Itália e Portugal. Assim como seus antecessores, o Bizarro está recrutando e se associando com mulas para operacionalizar o ataque no exterior, sendo que estes parceiros podem apoiar nas fraudes ou apenas atuar na retirada do dinheiro roubado. Tecnicamente, os desenvolvedores deste malware estão adotando uma variedade de técnicas para complicar a análise e detecção da infecção pelas soluções de segurança, assim como truques de engenharia social para convencer as vítimas a entregar suas credenciais bancárias.
O Bizarro é distribuído às vítimas por meio de mensagens de spam que irão baixar o instalador do programa malicioso (um pacote Microsoft Installer – MSI). Ao ser executado, este realiza um novo download acessando servidores comprometidos para baixar um arquivo comprimido ZIP com o malware que tem as funções bancárias fraudulentas. Após finalizar o processo de infecção, os dados são enviados para o servidor de telemetria do grupo e o trojan inicia seu módulo de captura de tela para roubar as credenciais bancárias. Outra função ativada é o monitoramento de carteiras online de Bitcoin. Caso seja encontrado uma, o trojan substitui o endereço para direcionar futuros créditos para a carteira virtual dos criminosos.
Para os pesquisadores da Kaspersky na América Latina, o acesso remoto ao computador infectado é a parte mais importante do Bizarro, pois é o que permite o roubo das credenciais financeiras – e, até o momento, ele monitora 70 bancos que operam na América do Sul e na Europa. Além disso, este componente contém mais de 100 comandos que podem, por exemplo, exibir mensagens pop-up falsas para os usuários ou mostrar uma página falsa idêntica à do banco.
"O Bizarro é uma das famílias de trojans financeiro brasileira mais ativas no exterior, tendo a França e o Chile como principais alvos. Este sucesso se deve pela sofisticação do golpe. Para ser honesto, o acesso remoto já se tornou o padrão no Brasil – mas temos um dos melhores sistemas de segurança e antifraude para o Internet Banking do mundo e usar o dispositivo da vítima se tornou a única maneira de manter as fraudes. Por outro lado, isso exigiu uma especialização dos criminosos locais e resultou em uma vantagem competitiva quando eles passaram a exportar seu malware para países com uma segurança no Internet Banking mais baixa", avalia Fabio Assolini, analista sênior da Kaspersky no Brasil.
