W zeszłym roku eksperci zauważyli, że kilka trojanów bankowych z Ameryki Południowej (Guildma, Javali, Melcoz oraz Grandoreiro) rozszerzyło swoje operacje na cały świat. Określane łącznie jako Tetrade, rodziny te stosowały szereg nowych, innowacyjnych i wyrafinowanych technik. Podobną tendencję zaobserwowano w 2021 r. – nowy gracz lokalny, Bizarro, zaczął działać na skalę globalną.
Bizarro to nowa rodzina trojanów bankowych, która została stworzona w Brazylii, a teraz znaleźć ją można również w innych państwach, takich jak Argentyna, Chile, Niemcy, Hiszpania, Portugalia, Francja oraz Włochy. Podobnie jak Tétrade, Bizarro wykorzystuje sieci partnerskie lub rekrutuje słupy do przeprowadzania swoich ataków, wypłacania środków lub po prostu pomocy w tłumaczeniach na kolejne języki. Jednocześnie stojący za tą rodziną szkodników cyberprzestępcy stosują różne metody techniczne w celu komplikowania analizy oraz wykrywania szkodliwego oprogramowania, jak również sztuczki socjotechniczne, za pomocą których nakłaniają ofiary do ujawnienia swoich bankowych danych uwierzytelniających.
Bizarro jest rozprzestrzeniany za pośrednictwem pakietów MSI (pliki instalacyjne systemu Windows) pobieranych przez ofiary z odsyłaczy zamieszczonych w wiadomościach spamowych. Po zainstalowaniu Bizarro pobiera z zainfekowanej strony archiwum ZIP w celu wykonania dalszych szkodliwych funkcji. Po wysłaniu danych na serwer telemetryczny Bizarro inicjuje moduł przechwytywania ekranu. Jak zaobserwowali eksperci z firmy Kaspersky, w celu przechowywania szkodliwego oprogramowania i zbierania telemetrii Bizarro wykorzystywał do tej pory serwery na platformach Azure i Amazon, jak również zhakowane serwery WordPress.
Badacze z firmy Kaspersky podkreślają, że głównym komponentem Bizarro jest backdoor. Zawiera on ponad 100 poleceń, z czego większość wykorzystywana jest do wyświetlania użytkownikom fałszywych wiadomości wyskakujących. Niektóre z nich próbują nawet imitować systemy bankowości online.
Cyberprzestępcy nieustannie szukają nowych sposobów rozprzestrzeniania szkodliwego oprogramowania, które kradnie dane uwierzytelniające do systemów e-płatności oraz bankowości online. Obecnie obserwujemy przełomowy trend w rozprzestrzenianiu szkodliwego oprogramowania bankowego – regionalni gracze aktywnie atakują użytkowników na całym świecie. Stosując nowe techniki, brazylijskie rodziny szkodliwego oprogramowania zaczęły rozprzestrzeniać się do innych państw, czego doskonałym przykładem jest Bizarro, który atakuje użytkowników m.in. w Europie. To pokazuje, że należy położyć większy nacisk na analizę przestępców regionalnych oraz lokalną analizę zagrożeń, ponieważ wkrótce mogą one stać się problemem globalnym – powiedział Fabio Assolini, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Szczegóły techniczne dotyczące szkodliwego programu Bizarro są dostępne na stronie: https://r.kaspersky.pl/TwFqY.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć instytucje finansowe przed trojanami bankowymi takimi jak Bizarro:
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń, aby był na bieżąco z nowymi narzędziami oraz technikami stosowanymi przez cyberprzestępców. Usługa Financial Threat Intelligence Reporting firmy Kaspersky zawiera wskaźniki infekcji (IoC), reguły Yara oraz skróty (hashe) takich ataków.
- Podnoś umiejętności swojego zespołu z centrum operacji bezpieczeństwa, aby potrafił poradzić sobie z najnowszymi zagrożeniami ukierunkowanymi, np. poprzez szkolenia online firmy Kaspersky opracowane przez ekspertów z Globalnego Zespołu ds. Badań i Analiz (GReAT).
- Edukuj swoich klientów na temat potencjalnych zagrożeń oraz sztuczek, jakie mogą stosować cyberprzestępcy. Regularnie wysyłaj im informacje o tym, jak zidentyfikować oszustwo i jak postępować w tej sytuacji.
- Korzystaj z rozwiązania potrafiącego wykrywać wyrafinowane oszustwa. Przykładem jest Kaspersky Fraud Prevention, oparte na sesjach rozwiązanie chroniące przed oszustwami, które potrafi zwalczać nie tylko próby szkodliwych działań (wstrzykiwanie JavaScript, ukryte połączenie z narzędziami zdalnej administracji oraz wykorzystywanie stron internetowych) na etapie inkubacji procesu kradzieży pieniędzy, ale również identyfikować dalsze szkodliwe zachowania w obrębie kont oraz wykrywać przypadki wykorzystania socjotechniki.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.