Un gang de cybercriminalité motivé financièrement a déchaîné un cheval de Troie bancaire auparavant sans papiers, qui peut voler les informations d’identification des clients de 70 banques situées dans divers pays d’Europe et d’Amérique du Sud.
Surnommé « Bizarro« par les chercheurs de Kaspersky, le malware Windows » utilise des affiliés ou recrute des mules pour opérationnaliser leurs attaques, encaisser ou simplement aider [sic] avec transferts. «
La campagne se compose de plusieurs parties mobiles, dont la principale est la capacité de tromper les utilisateurs en leur faisant entrer des codes d’authentification à deux facteurs dans de fausses fenêtres contextuelles qui sont ensuite envoyées aux attaquants, ainsi que sa dépendance à l’égard des leurres d’ingénierie sociale pour convaincre les visiteurs des sites Web bancaires en téléchargeant une application malveillante pour smartphone.
Bizarro, qui utilise des serveurs WordPress, Amazon et Azure compromis pour héberger le malware, est distribué via des packages MSI téléchargés par les victimes à partir de liens fragmentaires dans des e-mails de spam. Le lancement du package télécharge une archive ZIP contenant une DLL écrite en Delphi, qui injecte ensuite l’implant fortement masqué. De plus, le module principal de la porte dérobée est configuré pour rester inactif jusqu’à ce qu’il détecte une connexion à l’un des systèmes bancaires en ligne codés en dur.
« Lorsque Bizarro démarre, il tue d’abord tous les processus du navigateur pour mettre fin à toutes les sessions existantes avec des sites Web bancaires en ligne », ont déclaré les chercheurs. «Lorsqu’un utilisateur redémarre les navigateurs, il sera obligé de saisir à nouveau les informations d’identification du compte bancaire, qui seront capturées par le logiciel malveillant. Une autre étape que Bizarro prend afin d’obtenir autant d’informations d’identification que possible est de désactiver la saisie semi-automatique dans un navigateur. «
Alors que la fonction principale du cheval de Troie est de capturer et d’exfiltrer les informations d’identification bancaires, la porte dérobée est conçue pour exécuter 100 commandes à partir d’un serveur distant qui lui permet de récolter toutes sortes d’informations sur les machines Windows, contrôler la souris et le clavier de la victime, enregistrer les frappes au clavier, capturer des captures d’écran , et même limiter les fonctionnalités de Windows.
Bizarro n’est que le dernier exemple de la façon dont les chevaux de Troie bancaires brésiliens affectent de plus en plus les appareils Windows et Android, rejoignant des logiciels malveillants tels que Guildma, Javali, Melcoz, Grandoreiro (collectivement appelés Tetrade), Amavaldo, Ghimob et BRATA, tout en étendant simultanément leur empreinte de victimologie en Amérique du Sud et en Europe.
« Les acteurs de la menace derrière cette campagne adoptent diverses méthodes techniques pour compliquer l’analyse et la détection des logiciels malveillants, ainsi que des astuces d’ingénierie sociale qui peuvent aider à convaincre les victimes de fournir des données personnelles liées à leurs comptes bancaires en ligne », ont déclaré les chercheurs.