Nový bankovní trojan Bizzaro expanduje z Brazílie do celého světa. Útočí i na evropské banky

17. května 2021 – Na 70 bankovních institucí v Jižní Americe, ale také v Evropě už zaútočil nový bankovní malware s názvem Bizzaro. Škodlivý kód pochází z Brazílie a velmi rychle se šíří do celého světa. Nejde o ojedinělý případ. Už v loňském roce zaznamenali analytici bezpečnostní společnosti Kaspersky několik rodin bankovních trojanů (Guildma, Javali, Melcoz a Grandoreiro) z Jižní Ameriky, které postupně rozšířily svoje aktivity na další kontinenty. Tyto rodiny, souhrnně označované jako Tétrade, využívaly řadu inovativních a sofistikovaných technik. V roce 2021 tento trend pokračuje – další globální hrozbou se stal právě nový lokální hráč s názvem Bizarro.

Bizarro je nová rodina bankovních trojanů původem z Brazílie, která se začala objevovat i v dalších zemích, jako jsou Argentina, Chile, Německo, Španělsko, Portugalsko, Francie a Itálie. Stejně jako Tétrade si i Bizarro k realizaci svých útoků vytváří systém partnerů nebo verbuje „bílé koně“, kteří provádějí výběr peněz nebo jen pomáhají s překlady. Kyberzločinci stojící za touto rodinou malwaru zároveň používají různé technické metody, které komplikují analýzu a detekci malwaru, a také triky sociálního inženýrství, které pomáhají přesvědčit cíle, aby poskytly svoje přihlašovací údaje k internetovému bankovnictví.

Bizarro se rozšiřuje prostřednictvím balíčků MSI (Microsoft Installer), které si oběti stahují z odkazů v e-mailových spamech. Po spuštění si Bizarro stáhne ZIP archiv z napadené webové stránky, aby mohl implementovat další škodlivé funkce. Po odeslání dat na telemetrický server inicializuje Bizarro modul k zachycování obsahu obrazovky. Odborníci společnosti Kaspersky zatím zaznamenali, že Bizarro využívá k ukládání škodlivého softwaru a shromažďování telemetrie hostitelské servery služeb Azure a Amazon nebo napadené servery WordPress.

Lokální zločinci se snaží o globální úspěch

Výzkumníci společnosti Kaspersky odhalili, že hlavní součástí trojanu Bizarro jsou tzv. „zadní vrátka“ neboli backdoor. Ten podporuje přes 100 příkazů, z nichž většina slouží k zobrazování falešných vyskakovacích zpráv uživatelům. Některé z nich se dokonce snaží napodobit systémy internetového bankovnictví.

„Kyberzločinci hledají stále nové způsoby šíření malwaru, který krade přihlašovací údaje k systémům elektronických plateb a internetového bankovnictví. V současné době jsme svědky významné změny trendu šíření bankovního malwaru – lokální kyberzločinci aktivně útočí na uživatele nejen ve svém regionu, ale po celém světě. Díky novým technikám se brazilské malwarové rodiny začaly šířit na další kontinenty a Bizarro, který cílí na uživatele z Evropy, je toho nejzřetelnějším příkladem. Považujme to za varování, že je třeba klást větší důraz na analýzu regionální kriminality a místního zpravodajství o hrozbách, protože mohou brzy přerůst v celosvětový problém,“ říká Fabio Assolini, bezpečnostní expert společnosti Kaspersky.

Příklad: Bizarro blokuje přihlašovací stránku banky a sděluje uživateli, že se instalují bezpečnostní aktualizace.

Další informace o vlastnostech malwaru Bizarro najdete na webu Securelist.com.

Bezpečnostní experti společnosti Kaspersky doporučují finančním institucím následující kroky, jak se ochránit před bankovními trojany typu Bizzaro.

  • Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším poznatkům o aktuálních hrozbách, aby měl neustále informace o nových nástrojích a technikách používaných kyberzločinci. Například Kaspersky Financial Threat Intelligence Reporting obsahuje indikátory napadení (IoC), pravidla Yara a hashe k těmto hrozbám.
  • Zvyšujte kvalifikaci svého bezpečnostního týmu, abyste mohli lépe čelit nejnovějším cíleným hrozbám, pomocí online školení Kaspersky vyvinutého odborníky z týmu GReAT (Global Research & Analysis Team).
  • Poučte svoje zákazníky o možných nebezpečích a tricích, které mohou záškodníci používat. Zasílejte jim pravidelně informace, jak rozpoznat podvod a jak se v takové situaci zachovat.
  • Implementujte řešení, které dokáže odhalit sofistikované případy podvodů. Například řešení Kaspersky Fraud Prevention, které analyzuje akce uživatele, dokáže bojovat nejen proti pokusům o zneužití (injektování JavaScriptu, skryté připojení k nástrojům vzdálené správy a používání webových stránek) v ranné fázi pokusu o krádež peněz, ale také identifikovat následné neobvyklé aktivity na účtech a odhalit případy sociálního inženýrství.

O společnosti Kaspersky
Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější. Další informace jsou k dispozici na www.kaspersky.com.