Nový bankovní trojan Bizzaro expanduje z Brazílie do celého světa. Útočí i na evropské banky
Na 70 bankovních institucí v Jižní Americe, ale také v Evropě již zaútočil nový bankovní malware s názvem Bizzaro. Škodlivý kód pochází z Brazílie a velmi rychle se šíří do celého světa. Nejde o ojedinělý případ. Již v loňském roce zaznamenali analytici bezpečnostní společnosti Kaspersky několik rodin bankovních trojanů (Guildma, Javali, Melcoz a Grandoreiro) z Jižní Ameriky, které postupně rozšířily svoje aktivity do dalších kontinentů. Tyto rodiny, souhrnně označované jako „Tétrade“, využívaly řadu nových, inovativních a sofistikovaných technik. V roce 2021 tento trend pokračuje – další globální hrozbou se stal právě nový lokální hráč s názvem Bizarro.
Bizarro je nová rodina bankovních trojanů původem z Brazílie, která se začala objevovat i v dalších zemích, jako jsou Argentina, Chile, Německo, Španělsko, Portugalsko, Francie a Itálie. Stejně jako Tétrade si i Bizarro pro realizaci svých útoků vytváří systém partnerů nebo verbuje „bílé koně“, kteří provádějí výběr peněz nebo jen pomáhají s překlady. Kyberzločinci stojící za touto rodinou malwaru zároveň používají různé technické metody, které komplikují analýzu a detekci malwaru, a také triky sociálního inženýrství, které pomáhají přesvědčit cíle, aby poskytly svoje přihlašovací údaje k internetovému bankovnictví.
Bizarro je distribuován prostřednictvím balíčků MSI (Microsoft Installer), které si oběti stahují z odkazů v e-mailových spamech. Po spuštění si Bizarro stáhne ZIP archiv z napadené webové stránky, aby mohl implementovat další škodlivé funkce. Po odeslání dat na telemetrický server inicializuje Bizarro modul pro zachycování obsahu obrazovky. Odborníci společnosti Kaspersky zatím zaznamenali, že Bizarro využívá k ukládání škodlivého softwaru a shromažďování telemetrie hostitelské servery služeb Azure a Amazon nebo napadené servery WordPress.
Lokální zločinci se snaží o globální úspěch
Výzkumníci společnosti Kaspersky odhalili, že hlavní součástí trojanu Bizarro jsou tzv. „zadní vrátka“ neboli backdoor. Ten podporuje přes 100 příkazů, z nichž většina slouží k zobrazování falešných vyskakovacích zpráv uživatelům. Některé z nich se dokonce snaží napodobit systémy internetového bankovnictví.
„Kyberzločinci hledají stále nové způsoby šíření malwaru, který krade přihlašovací údaje k systémům elektronických plateb a internetového bankovnictví. V současné době jsme svědky významné změny trendu šíření bankovního malwaru – lokální kyberzločinci aktivně útočí na uživatele nejen ve svém regionu, ale i po celém světě. Díky novým technikám se brazilské malwarové rodiny začaly šířit na další kontinenty a Bizarro, který cílí na uživatele z Evropy, je toho nejzřetelnějším příkladem. Považujme to za varování, že je třeba klást větší důraz na analýzu regionální kriminality a místního zpravodajství o hrozbách, protože mohou brzy přerůst v celosvětový problém,“ říká Fabio Assolini, bezpečnostní expert společnosti Kaspersky.
Další informace o vlastnostech malwaru Bizarro najdete na webu Securelist.com.
Bezpečnostní experti společnosti Kaspersky doporučují finančním institucím následující kroky, jak se ochránit před bankovními trojany typu Bizzaro:
• Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším poznatkům o aktuálních hrozbách, aby byl neustále informován o nových nástrojích a technikách používaných kyberzločinci. Například Kaspersky Financial Threat Intelligence Reporting obsahuje indikátory napadení (IoC), pravidla Yara a hashe k těmto hrozbám.
• Zvyšujte kvalifikaci svého bezpečnostního týmu, abyste mohli lépe čelit nejnovějším cíleným hrozbám, pomocí online školení Kaspersky vyvinutého odborníky z týmu GReAT (Global Research & Analysis Team).
• Poučte svoje zákazníky o možných nebezpečích a tricích, které mohou záškodníci používat. Zasílejte jim pravidelně informace, jak rozpoznat podvod a jak se v takové situaci zachovat.
• Implementujte řešení, které dokáže odhalit sofistikované případy podvodů. Například řešení Kaspersky Fraud Prevention, které analyzuje akce uživatele, dokáže bojovat nejen proti pokusům o zneužití (injektování JavaScriptu, skryté připojení k nástrojům vzdálené správy a používání webových stránek) v ranné fázi pokusu o krádež peněz, ale také identifikovat následné neobvyklé aktivity na účtech a odhalit případy sociálního inženýrství.
Comments
