Nový bankovní trojan Bizzaro expanduje z Brazílie do celého světa. Útočí i na evropské banky
17.05.2021
Nový bankovní trojan Bizzaro expanduje z Brazílie do celého světa. Útočí i na evropské banky

Na 70 bankovních institucí v Jižní Americe, ale také v Evropě už zaútočil nový bankovní malware s názvem Bizzaro. Škodlivý kód pochází z Brazílie a velmi rychle se šíří do celého světa. Nejde o ojedinělý případ. Už v loňském roce zaznamenali analytici bezpečnostní společnosti Kaspersky několik rodin bankovních trojanů (Guildma, Javali, Melcoz a Grandoreiro) z Jižní Ameriky, které postupně rozšířily svoje aktivity na další kontinenty. Tyto rodiny, souhrnně označované jako Tétrade, využívaly řadu inovativních a sofistikovaných technik. V roce 2021 tento trend pokračuje – další globální hrozbou se stal právě nový lokální hráč s názvem Bizarro.

 

Bizarro je nová rodina bankovních trojanů původem z Brazílie, která se začala objevovat i v dalších zemích, jako jsou Argentina, Chile, Německo, Španělsko, Portugalsko, Francie a Itálie. Stejně jako Tétrade si i Bizarro k realizaci svých útoků vytváří systém partnerů nebo verbuje „bílé koně“, kteří provádějí výběr peněz nebo jen pomáhají s překlady. Kyberzločinci stojící za touto rodinou malwaru zároveň používají různé technické metody, které komplikují analýzu a detekci malwaru, a také triky sociálního inženýrství, které pomáhají přesvědčit cíle, aby poskytly svoje přihlašovací údaje k internetovému bankovnictví.

Bizarro se rozšiřuje prostřednictvím balíčků MSI (Microsoft Installer), které si oběti stahují z odkazů v e-mailových spamech. Po spuštění si Bizarro stáhne ZIP archiv z napadené webové stránky, aby mohl implementovat další škodlivé funkce. Po odeslání dat na telemetrický server inicializuje Bizarro modul k zachycování obsahu obrazovky. Odborníci společnosti Kaspersky zatím zaznamenali, že Bizarro využívá k ukládání škodlivého softwaru a shromažďování telemetrie hostitelské servery služeb Azure a Amazon nebo napadené servery WordPress.

Lokální zločinci se snaží o globální úspěch

Výzkumníci společnosti Kaspersky odhalili, že hlavní součástí trojanu Bizarro jsou tzv. „zadní vrátka“ neboli backdoor. Ten podporuje přes 100 příkazů, z nichž většina slouží k zobrazování falešných vyskakovacích zpráv uživatelům. Některé z nich se dokonce snaží napodobit systémy internetového bankovnictví.
 
„Kyberzločinci hledají stále nové způsoby šíření malwaru, který krade přihlašovací údaje k systémům elektronických plateb a internetového bankovnictví. V současné době jsme svědky významné změny trendu šíření bankovního malwaru – lokální kyberzločinci aktivně útočí na uživatele nejen ve svém regionu, ale po celém světě. Díky novým technikám se brazilské malwarové rodiny začaly šířit na další kontinenty a Bizarro, který cílí na uživatele z Evropy, je toho nejzřetelnějším příkladem. Považujme to za varování, že je třeba klást větší důraz na analýzu regionální kriminality a místního zpravodajství o hrozbách, protože mohou brzy přerůst v celosvětový problém,“ říká Fabio Assolini, bezpečnostní expert společnosti Kaspersky.


Příklad: Bizarro blokuje přihlašovací stránku banky a sděluje uživateli, že se instalují bezpečnostní aktualizace.


Další informace o vlastnostech malwaru Bizarro najdete na webu Securelist.com.

Bezpečnostní experti společnosti Kaspersky doporučují finančním institucím následující kroky, jak se ochránit před bankovními trojany typu Bizzaro.