Os investigadores da Kaspersky descobriram um novo malware bancário proveniente do Brasil, chamado “Bizarro” e que é dirigido a 70 bancos de diferentes países europeus e sul-americanos. Só em Portugal, este malware já afetou sete bancos.
Segundo a Kaspersky, este novo malware já está a deixar marcas por todo o mundo. Tendo afetado sete entidades bancárias em Portugal, já causou estragos também em bancos de outros países como Alemanha (seis entidades), França (oito entidades) e Espanha (22 entidades), um dos países europeus mais afetados pelo novo malware até agora.
Os especialistas lembram que já tinham detetado, durante o ano passado, vários trojans bancários provenientes da América do Sul (Guildma, Javali, Melcoz e Grandoreiro), que expandiam as suas operações a nível global. Conhecidas no seu conjunto como "Tétrade", estas famílias utilizavam uma variedade de técnicas inovadoras e sofisticadas. Em 2021, esta tendência continua – mas, agora, com uma nova ameaça local, o malware “Bizarro”, que se tem vindo a expandir globalmente.
Para além de Portugal e dos países acima referidos, esta nova família de trojans bancários proveniente do Brasil pode agora ser encontrada em outras localidades europeias e sul-americanas, entre as quais a Argentina, Chile e Itália.
Mas como funciona? “Tal como a Tétrade, Bizarro está a utilizar afiliados ou a recrutar intermediários (money mules) para operacionalizar os seus ataques, procedendo a cobranças ou simplesmente ajudando com as traduções. Ao mesmo tempo, os cibercriminosos que estão por trás desta família de malware estão a adotar igualmente várias técnicas para dificultar a análise e a deteção do malware, servindo-se, por exemplo, de truques de engenharia social, que ajudam a convencer as vítimas a fornecerem as suas credenciais bancárias”, explica a empresa global de cibersegurança e privacidade digital.
O Bizarro tem vindo a ser distribuído através de pacotes MSI (Microsoft Installer), descarregados pelas vítimas através de links enviados em e-mails de spam. Uma vez executado, o Bizarro descarrega um arquivo ZIP a partir de um website comprometido, para implementar as suas funções maliciosas adicionais. Depois de enviar os dados para o servidor de telemetria, o Bizarro inicia o módulo de captura de ecrã. Até agora, os investigadores da Kaspersky conseguiram descobrir que o Bizarro utiliza servidores alojados no Azure, na Amazon e em servidores do WordPress comprometidos, para armazenar o malware e recolher a telemetria.
"Os cibercriminosos estão constantemente à procura de novas formas de difundir malware, que lhes permitam roubar credenciais de sistemas de pagamento eletrónico e sistemas bancários online. Hoje em dia, estamos a assistir a uma tendência de mudança na distribuição de malware bancário: a globalização dos ataques”, diz Fabio Assolini, especialista em segurança da Kaspersky.
O responsável acrescenta que “os cibercriminosos regionais não só atacam ativamente os utilizadores da sua região, mas também em todo o mundo. Implementando novas técnicas, as famílias brasileiras de malware começaram a distribuir malware a outros continentes, e o Bizarro, que se dirige principalmente a utilizadores europeus, é um claro exemplo disso. Este malware deveria servir como um sinal para darmos mais atenção à análise dos atacantes regionais e das informações sobre ameaças locais, já que estes podem rapidamente converter-se num problema mundial”.