Novo malware bancário já afetou sete bancos em Portugal

Os investigadores da Kaspersky descobriram um novo malware bancário proveniente do Brasil, chamado “Bizarro”, dirigido a 70 bancos de diferentes países europeus e sul-americanos. Em Portugal, este malware já afetou sete bancos.

Bizarro é o novo malware bancário proveniente do Brasil que já está a deixar marcas por todo o mundo. Em Portugal, já afetou sete entidades bancárias, sendo que estes ataques também já lesaram bancos de outros países como Alemanha (seis entidades), França (oito entidades) e Espanha (22 entidades), um dos países europeus mais afetados pelo novo malware até agora.

Durante o ano passado, os especialistas da Kaspersky já tinham detetado vários trojans bancários provenientes da América do Sul (Guildma, Javali, Melcoz e Grandoreiro), que expandiam as suas operações a nível global. Conhecidas no seu conjunto como "Tétrade", estas famílias utilizavam uma variedade de técnicas inovadoras e sofisticadas. Em 2021, esta tendência continua – mas, agora, com uma nova ameaça local, o malware “Bizarro”, que se tem vindo a expandir globalmente.

Para além de Portugal e dos países acima referidos, esta nova família de trojans bancários proveniente do Brasil pode agora ser encontrada em outras localidades europeias e sul-americanas, entre as quais a Argentina, Chile e Itália. Tal como a Tétrade, Bizarro está a utilizar afiliados ou a recrutar intermediários (money mules) para operacionalizar os seus ataques, procedendo a cobranças ou simplesmente ajudando com as traduções. Ao mesmo tempo, os cibercriminosos que estão por trás desta família de malware estão a adotar igualmente várias técnicas para dificultar a análise e a deteção do malware, servindo-se, por exemplo, de truques de engenharia social, que ajudam a convencer as vítimas a fornecerem as suas credenciais bancárias.

O malware Bizarro tem vindo a ser distribuído através de pacotes MSI (Microsoft Installer), descarregados pelas vítimas através de links enviados em e-mails de spam. Uma vez executado, o Bizarro descarrega um arquivo ZIP a partir de um website comprometido, para implementar as suas funções maliciosas adicionais. Depois de enviar os dados para o servidor de telemetria, o Bizarro inicia o módulo de captura de ecrã. Até agora, os investigadores da Kaspersky conseguiram descobrir que o Bizarro utiliza servidores alojados no Azure, na Amazon e em servidores do WordPress comprometidos, para armazenar o malware e recolher a telemetria.

Os investigadores da Kaspersky salientam ainda que a componente principal do Bizarro é a backdoor, que contém mais de cem comandos e sua maioria é utilizada para enviar mensagens pop-up falsas aos utilizadores. Alguns deles tentam mesmo imitar os sistemas bancários online.

"Os cibercriminosos estão constantemente à procura de novas formas de difundir malware, que lhes permitam roubar credenciais de sistemas de pagamento eletrónico e sistemas bancários online. Hoje em dia, estamos a assistir a uma tendência de mudança na distribuição de malware bancário: a globalização dos ataques. Os cibercriminosos regionais não só atacam ativamente os utilizadores da sua região, mas também em todo o mundo. Implementando novas técnicas, as famílias brasileiras de malware começaram a distribuir malware a outros continentes, e o Bizarro, que se dirige principalmente a utilizadores europeus, é um claro exemplo disso. Este malware deveria servir como um sinal para darmos mais atenção à análise dos atacantes regionais e das informações sobre ameaças locais, já que estes podem rapidamente converter-se num problema mundial", reforça Fabio Assolini, especialista em segurança da Kaspersky.