A empresa de segurança virtual Kaspersky divulgou em seu blog, na segunda-feira (17), a descoberta de um novo trojan brasileiro que está atacando consumidores em países da Europa e da América do Sul. Chamado de Bizarro, o malware tem capacidade de roubar credenciais de Internet Banking de 70 instituições financeiras.
Sexta família de malwares brasileiros detectada pela Kaspersky, o Bizarro atua, além do Brasil, na Argentina, Alemanha, Chile, Espanha, França, Itália e Portugal. O arquivo malicioso utiliza o modelo de recrutamento e afiliação, que envolve a associação com “mulas” para operacionalizar seus ataques internacionais. Além de suporte, estes parceiros criminosos dão apoio a fraudes e ao saque do dinheiro roubado.
Para evitar a análise e detecção da infecção pelas soluções de segurança atuantes, os desenvolvedores do Bizarro desenvolveram algumas técnicas para dificultar a análise, adotando truques de engenharia social, pelos quais as próprias vítimas são convencidas a entregar espontaneamente suas credenciais bancárias.
Como o Bizarro está se expandindo para outros países?
Fonte: Blog Kaspersky/ReproduçãoFonte: Blog Kaspersky
Conforme os especialistas da Kaspersky, a principal via de distribuição do Bizarro são os pacotes Microsoft Installer (MSI), encaminhados às vítimas através de mensagens de spam. Assim que o programa é executado, ele faz o download de um arquivo ZIP com o malware que executa funções bancárias fraudulentas.
Tão logo o trojan é instalado, ele envia dados do computador para o servidor de telemetria do grupo criminoso, e começa seu “trabalho” de captura de telas para roubar credenciais bancárias. O Bizarro também monitora possíveis carteiras de Bitcoins online. Se encontradas, o malware imediatamente substitui o endereço de destino de futuros créditos para a carteira virtual da quadrilha.
Para Fabio Assolini, analista sênior da Kaspersky no Brasil, o Bizarro é hoje "uma das famílias de trojans financeiros mais ativas no exterior". O sucesso se deve ao seu alto nível de sofisticação. Com mais de 100 comandos, ele é capaz de mostrar mensagens de pop-up falsas, e até mostrar uma página fake idêntica à do banco,
Fontes