Os investigadores da Kaspersky descobriram um novo malware bancário proveniente do Brasil, chamado Bizarro, dirigido a 70 bancos de diferentes países europeus e sul-americanos. Em Portugal, o software malicioso já afetou sete entidades bancárias, lesando também seis bancos na Alemanha, oito na França e 22 na Espanha, vista como um dos países mais afetados.

Durante o ano passado, os investigadores já tinham detetado vários trojans bancários provenientes da América do Sul, como o Guildma, Javali, Melcoz e Grandoreiro, que expandiam as suas operações a nível global. Conhecidas no seu conjunto como Tétrade, estas famílias de software maliciosa utilizavam uma variedade de técnicas inovadoras e sofisticadas.

Em 2021, a tendência continua, mas, agora, com uma nova ameaça local, o malware Bizarro, que se tem vindo a expandir globalmente.

Família de malware bancário vindo do Brasil
créditos: Kaspersky

A Kaspersky avança que, à semelhança da Tétrade, o malware Bizarro está a utilizar afiliados ou a recrutar intermediários, também conhecidos como “money mules”, para operacionalizar os seus ataques, procedendo a cobranças ou simplesmente ajudando com as traduções.

Ao mesmo tempo, os cibercriminosos que estão por trás desta família de malware estão a adotar igualmente várias técnicas para dificultar a análise e a deteção do mesmo, servindo-se, por exemplo, de truques de engenharia social, que levam as vítimas a fornecerem as suas credenciais bancárias.

O malware Bizarro tem vindo a ser distribuído através de pacotes Microsoft Installer, descarregados pelas vítimas através de links enviados em emails de spam. Uma vez executado, o Bizarro descarrega um arquivo ZIP a partir de um website comprometido, para implementar a sua carga maliciosa. Depois de enviar os dados para um servidor de telemetria, o malware inicia o módulo de captura de ecrã.

De acordo com a empresa de cibersegurança, os especialistas conseguiram descobrir que o Bizarro utiliza servidores alojados no Azure, na Amazon e em servidores do WordPress comprometidos, para armazenar o malware e recolher a telemetria.

Os investigadores salientam que a componente principal do Bizarro é a backdoor, que contém mais de 100 comandos, com a sua maioria a ser usada para enviar mensagens pop-up falsas aos utilizadores. Alguns deles tentam mesmo imitar os sistemas bancários online.

“Os cibercriminosos estão constantemente à procura de novas formas de difundir malware, que lhes permitam roubar credenciais de sistemas de pagamento eletrónico e sistemas bancários online. Hoje em dia, estamos a assistir a uma tendência de mudança na distribuição de malware bancário: a globalização dos ataques", afirma Fabio Assolini, especialista em segurança da Kaspersky.

O especialista enfatiza que o malware Bizarro "deveria servir como um sinal para darmos mais atenção à análise dos atacantes regionais e das informações sobre ameaças locais, já que estes podem rapidamente converter-se num problema mundial”.

Além da implementação de uma solução que consiga detetar casos de fraude sofisticados, os especialistas da Kaspersky recomendam uma série de medidas para proteger as instituições financeiras contra trojans bancários como o Bizarro, incluindo disponibilizar às equipas SOC total acesso às últimas informações sobre ciberameaças, mantendo-as atualizadas sobre as novas ferramentas e técnicas utilizadas pelos cibercriminosos.

Melhorar as competências destas equipas é também fundamental para enfrentar as mais recentes ameaças. Os clientes das instituições financeiras devem também ser informados sobre os possíveis perigos e truques que os cibercriminosos podem usar.