48 3052-8500

O malware Bizarro, criado no Brasil, agora mira a Europa - OSTEC | Segurança digital de resultados

Geral 3min de Leitura - 20 de maio de 2021

O malware Bizarro, criado no Brasil, agora mira a Europa

Dedo tocando em tecla de notebook.

This post is also available in: Português

Batizado de Bizarro, o trojan cresceu capturando senhas bancárias de usuários do Android. Vizinhos da América do Sul também estão em risco.

Nem sempre a evolução tecnológica do Brasil é sinônimo de orgulho. Uma prova disso surgiu nesta semana, com a notícia de que um malware criado em solo brasileiro está se espalhando por vários países. Chamado de Bizarro, tem como alvo clientes de 70 bancos da Europa e América do Sul, focando Chile, Argentina, França, Itália e, entre outros, Alemanha.

Nesses países, usuários de celulares Android podem ser as próximas vítimas do trojan, que tem o objetivo de capturar senhas de banco e sequestrar carteiras de Bitcoin. Ele se propaga por meio de pacotes do Microsoft Installer, oriundos de spam ou instalados por meio de aplicativos trojanizados.

Uma vez instalado, ele mata todos os processos do navegador em execução para encerrar qualquer sessão existente em sites de banco online. Portanto, quando um usuário tenta acessar o seu banco, precisará se conectar novamente – permitindo que o malware colete os detalhes. Para maximizar seu estrago, o Bizarro desativa o preenchimento automático no navegador e até mesmo exibe pop-ups falsos para tentar roubar códigos de autenticação de dois fatores.

E mais: o Bizarro também possui um módulo de captura de tela. “Ele carrega a biblioteca magnification.dll e obtém o endereço da função obsoleta da API MagSetImageScalingCallback”, explicaram os pesquisadores da Kaspersky, que divulgaram o estudo.

Assim, o trojan pode capturar a tela de um usuário e também monitorar constantemente a área de transferência do sistema, em busca de um endereço de carteira Bitcoin. Se encontrar uma, ela será substituída por uma carteira vazia pertencente aos desenvolvedores de malware. Além disso, o Bizarro também possui um módulo principal backdoor que é capaz de realizar mais de 100 comandos, de acordo com a análise.

Ação oculta

O componente central do backdoor não inicia até que o Bizarro detecte uma conexão com um dos sistemas bancários online codificados. O malware faz isso enumerando todas as janelas e coletando seus nomes. Caracteres de espaço em branco, letras com acentos e símbolos que não sejam letras – como travessões – são removidos das strings de nomes de janela. Se o nome de uma janela corresponder a uma das strings codificadas, o backdoor continua inicializando.

Nesse contexto, os comandos se enquadram em alguns campos principais, permitindo que os operadores de comando e controle (C2) obtenham dados sobre a vítima e gerenciem o status da conexão, por exemplo. Podem também fazer com que os invasores controlem o mouse e o teclado do usuário, bem como desligar, reiniciar ou destruir o sistema operacional.

O Bizarro tem ainda comandos que registram as teclas que são pressionadas (mesmo em telas touchscreen), e que exibem várias mensagens com o intuito de enganar os usuários para que forneçam aos invasores acesso a contas bancárias. Assim, entram em cena janelas pop-up falsas, com mensagens como “os dados inseridos estão incorretos, tente novamente”, ou informando supostos erros solicitando que o usuário insira um código de confirmação falso. Em alguns casos, informam ao usuário que o computador precisa ser reiniciado para concluir uma operação relacionada à segurança, o que também é fake.

Bizarro ganhando o mundo

Após “conquistar” o Brasil, o Bizarro agora atua também na Argentina, Chile, França, Alemanha, Itália, Portugal e Espanha. Essa disseminação global é típica de um grupo de cepas de malwares bancários originárias do Brasil, da mesma família de alguns nomes já conhecidos – como Grandoreiro, Guildma, Javali e Melcoz.

Esses quatro juntos são conhecidos como Tétrade, e empregam uma variedade de técnicas inovadoras e sofisticadas. Assim, o Bizarro é o mais novo membro do clube, e deve inspirar a troca de nome – já que “tétrade” significa um grupo com quatro elementos, assim como “tríade” representa um conjunto com três.

Os pesquisadores disseram que o Bizarro é apoiado por uma operação bastante complexa, que inclui o uso de afiliados para realizar uma variedade de funções. Tais tarefas incluem realizar ataques para obter posições iniciais em invasões de dispositivos das vítimas, lavagem de fundos ilícitos e até auxílio em traduções – algo fundamental para quem quer expandir para todo o planeta.

“Os cibercriminosos estão constantemente em busca de novas maneiras de espalhar malwares que roubam credenciais de pagamentos eletrônicos e sistemas bancários online”, disse Fabio Assolini, especialista em segurança da Kaspersky. “Hoje, testemunhamos uma tendência de mudança na distribuição de malware bancário, com agentes regionais atacando ativamente os usuários. E não apenas em sua região, mas também em todo o mundo”, destaca o executivo.

Ao implementar novas técnicas, as famílias brasileiras de malware começaram a viajar para outros continentes com alto poder destrutivo, e o Bizarro é o exemplo mais claro disso. Assim, deve servir como um sinal para que exista, no campo da segurança digital, uma maior preocupação na análise de cibercriminosos locais – pois eles estão provando que poderão se tornar um problema mundial.

Fonte: ThreatPost.

This post is also available in: Português

O que faz um DPO?

Postagem anterior