Bizarro é o novo malware bancário proveniente do Brasil, dirigido a 70 bancos de diferentes países europeus e sul-americanos, que já está a deixar marcas por todo o mundo. Segundo os investigadores da Kaspersky, em Portugal, este malware já afetou sete bancos, sendo que estes ataques também já lesaram instituições do setor de outros países como Alemanha (6 entidades), França (8) e Espanha, com 27 bancos, sendo o país europeu mais afetado.
Durante o ano passado, os especialistas da Kaspersky, empresa global de cibersegurança e privacidade digital, já tinham detetado vários trojans (vírus) bancários provenientes da América do Sul, que expandiam as suas operações a nível global. Conhecidas no seu conjunto como Tétrade, estas famílias utilizavam uma variedade de técnicas inovadoras e sofisticadas. Em 2021, esta tendência continua, mas, agora, com uma nova ameaça local.
Para além de Portugal e dos países referidos, a nova família de trojans bancários, proveniente do Brasil, pode agora ser encontrada em outras localidades europeias e sul-americanas, entre as quais a Argentina, Chile e Itália. Tal como a Tétrade, explicam os especialistas, Bizarro está a utilizar afiliados ou a recrutar intermediários (money mules) para operacionalizar os seus ataques, procedendo a cobranças ou simplesmente ajudando com as traduções.
Ao mesmo tempo, os cibercriminosos que estão por trás desta família de malware, adotam igualmente várias técnicas para dificultar a análise e a deteção do malware, servindo-se, por exemplo, de truques de engenharia social, que ajudam a convencer as vítimas a fornecerem as suas credenciais bancárias.
O malware Bizarro tem vindo a ser distribuído através de pacotes MSI (Microsoft Installer), descarregados pelas vítimas através de links enviados em e-mails de spam. Uma vez executado, o Bizarro descarrega um arquivo ZIP a partir de um website comprometido, para implementar as suas funções maliciosas adicionais. Depois de enviar os dados para o servidor de telemetria, o Bizarro inicia o módulo de captura de ecrã.
Até agora, os investigadores da Kaspersky conseguiram descobrir que o Bizarro utiliza servidores alojados no Azure, na Amazon e em servidores do WordPress comprometidos, para armazenar o malware e recolher a telemetria.
Os investigadores salientam ainda que a componente principal do Bizarro é a backdoor, que contém mais de 100 comandos e sua maioria é utilizada para enviar mensagens pop-up falsas aos utilizadores. Alguns deles tentam mesmo imitar os sistemas bancários online.
Entretanto, para proteger as instituições financeiras contra trojans bancários como o Bizarro e outros, os especialistas da Kaspersky recomendam implementar uma solução antifraude que consiga detetar casos de fraude sofisticados, como por exemplo o Kaspersky Fraud Prevention, uma solução antifraude que assegura o início de cada sessão em sistemas bancários online, que pode combater não só tentativas maliciosas (injeção de JavaScript, ligação oculta a ferramentas de administração remota e utilização de websites) na fase de elaboração do roubo de dinheiro, mas também identificar posteriormente comportamentos incorretos nas contas e detetar casos de engenharia social.