Badacze z firmy Kaspersky wykryli nowe szkodliwe oprogramowanie bankowe z Brazylii o nazwie Bizarro, które zaatakowało 70 banków w różnych państwach Europy i Ameryki Południowej. W zeszłym roku eksperci zauważyli, że kilka trojanów bankowych z Ameryki Południowej (Guildma, Javali, Melcoz oraz Grandoreiro) rozszerzyło swoje operacje na cały świat. Określane łącznie jako Tetrade, rodziny te stosowały szereg nowych, innowacyjnych i wyrafinowanych technik. Podobną tendencję zaobserwowano w 2021 r. – nowy gracz lokalny, Bizarro, zaczął działać na skalę globalną.
Bizarro to nowa rodzina trojanów bankowych, która została stworzona w Brazylii, a teraz znaleźć ją można również w innych państwach, takich jak Argentyna, Chile, Niemcy, Hiszpania, Portugalia, Francja oraz Włochy. Podobnie jak Tétrade, Bizarro wykorzystuje sieci partnerskie lub rekrutuje słupy do przeprowadzania swoich ataków, wypłacania środków lub po prostu pomocy w tłumaczeniach na kolejne języki. Jednocześnie stojący za tą rodziną szkodników cyberprzestępcy stosują różne metody techniczne w celu komplikowania analizy oraz wykrywania szkodliwego oprogramowania, jak również sztuczki socjotechniczne, za pomocą których nakłaniają ofiary do ujawnienia swoich bankowych danych uwierzytelniających.
Bizarro jest rozprzestrzeniany za pośrednictwem pakietów MSI (pliki instalacyjne systemu Windows) pobieranych przez ofiary z odsyłaczy zamieszczonych w wiadomościach spamowych. Po zainstalowaniu Bizarro pobiera z zainfekowanej strony archiwum ZIP w celu wykonania dalszych szkodliwych funkcji. Po wysłaniu danych na serwer telemetryczny Bizarro inicjuje moduł przechwytywania ekranu. Jak zaobserwowali eksperci z firmy Kaspersky, w celu przechowywania szkodliwego oprogramowania i zbierania telemetrii Bizarro wykorzystywał do tej pory serwery na platformach Azure i Amazon, jak również zhakowane serwery WordPress.
Badacze z firmy Kaspersky podkreślają, że głównym komponentem Bizarro jest backdoor. Zawiera on ponad 100 poleceń, z czego większość wykorzystywana jest do wyświetlania użytkownikom fałszywych wiadomości wyskakujących. Niektóre z nich próbują nawet imitować systemy bankowości online.
Cyberprzestępcy nieustannie szukają nowych sposobów rozprzestrzeniania szkodliwego oprogramowania, które kradnie dane uwierzytelniające do systemów e-płatności oraz bankowości online. Obecnie obserwujemy przełomowy trend w rozprzestrzenianiu szkodliwego oprogramowania bankowego – regionalni gracze aktywnie atakują użytkowników na całym świecie. Stosując nowe techniki, brazylijskie rodziny szkodliwego oprogramowania zaczęły rozprzestrzeniać się do innych państw, czego doskonałym przykładem jest Bizarro, który atakuje użytkowników m.in. w Europie. To pokazuje, że należy położyć większy nacisk na analizę przestępców regionalnych oraz lokalną analizę zagrożeń, ponieważ wkrótce mogą one stać się problemem globalnym – powiedział Fabio Assolini, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Szczegóły techniczne dotyczące szkodliwego programu Bizarro są dostępne na stronie: https://r.kaspersky.pl/TwFqY.