Na 70 bankovních institucí v Jižní Americe, ale také v Evropě už zaútočil nový bankovní malware s názvem Bizzaro. Škodlivý kód pochází z Brazílie a velmi rychle se šíří do celého světa. Nejde o ojedinělý případ. Už v loňském roce zaznamenali analytici několik rodin bankovních trojanů (Guildma, Javali, Melcoz a Grandoreiro) z Jižní Ameriky, které postupně rozšířily svoje aktivity na další kontinenty. Tyto rodiny, souhrnně označované jako Tétrade, využívaly řadu inovativních a sofistikovaných technik. V roce 2021 tento trend pokračuje – další globální hrozbou se stal právě nový lokální hráč s názvem Bizarro.
Bizarro je nová rodina bankovních trojanů původem z Brazílie, která se začala objevovat i v dalších zemích, jako jsou Argentina, Chile, Německo, Španělsko, Portugalsko, Francie a Itálie. Stejně jako Tétrade si i Bizarro k realizaci svých útoků vytváří systém partnerů nebo verbuje „bílé koně“, kteří provádějí výběr peněz nebo jen pomáhají s překlady. Kyberzločinci stojící za touto rodinou malwaru zároveň používají různé technické metody. Ty komplikují analýzu a detekci malwaru a pomáhají přesvědčit cíle, aby poskytly svoje přihlašovací údaje k internetovému bankovnictví.
Bizarro se rozšiřuje prostřednictvím balíčků MSI (Microsoft Installer), které si oběti stahují z odkazů v e-mailových spamech. Po spuštění si Bizarro stáhne ZIP archiv z napadené webové stránky, aby mohl implementovat další škodlivé funkce. Po odeslání dat na telemetrický server inicializuje Bizarro modul k zachycování obsahu obrazovky. Kód využívá k ukládání škodlivého softwaru a shromažďování telemetrie hostitelské servery služeb Azure a Amazon nebo napadené servery WordPress.
Lokální zločinci se snaží o globální úspěch
Výzkumníci společnosti Kaspersky odhalili, že hlavní součástí trojanu Bizarro jsou tzv. „zadní vrátka“ neboli backdoor. Ten podporuje přes 100 příkazů, z nichž většina slouží k zobrazování falešných vyskakovacích zpráv uživatelům. Některé z nich se dokonce snaží napodobit systémy internetového bankovnictví.
„Kyberzločinci hledají stále nové způsoby šíření malwaru, který krade přihlašovací údaje k systémům elektronických plateb a internetového bankovnictví. V současné době jsme svědky významné změny trendu šíření bankovního malwaru – lokální kyberzločinci aktivně útočí na uživatele nejen ve svém regionu, ale po celém světě. Díky novým technikám se brazilské malwarové rodiny začaly šířit na další kontinenty a Bizarro, který cílí na uživatele z Evropy, je toho nejzřetelnějším příkladem. Považujme to za varování, že je třeba klást větší důraz na analýzu regionální kriminality a místního zpravodajství o hrozbách, protože mohou brzy přerůst v celosvětový problém,“ říká Fabio Assolini, bezpečnostní expert společnosti Kaspersky.