Com foco em França e Chile, malware identificado pela Kaspersky rouba credenciais de internet banking e ataca carteiras de Bitcoin
Os especialistas da Kaspersky encontraram um novo trojan brasileiro responsável por roubar dinheiro das contas de internet banking de consumidores da Europa e América do Sul. Batizado de Bizarro, o malware financeiro monitora senhas de 70 bancos diferentes.
De acordo com a empresa de cibersegurança, esta é a sexta família de malwares encontrados no país que utiliza ataques internacionais. Tetrade – grupo formado pelos trojans Guildma, Javali, Melcoz e Grandoreiro – foi o primeiro, identificado no ano passado. Ainda em 2020, a Kaspersky descobriu Amavaldo e Ghimob.
Além do Brasil, o trojan bancário já foi identificado na Argentina, Alemanha, Chile, Espanha, França, Itália e Portugal. Como seus antecessores, Bizarro recruta e se associa a “mulas” para operacionalizar o ataque no exterior. Esses parceiros baseados em outros países podem participar da fraude ou simplesmente efetuar a retirada do dinheiro roubado.
Segundo Fabio Assolini, analista sênior da Kaspersky no Brasil, o Bizarro é uma das famílias brasileiras de trojan financeiro mais ativas no exterior, tendo a França e o Chile como principais alvos. Esse sucesso se deve à sofisticação do golpe, que faz uso de técnicas difíceis de serem identificadas por sistemas de segurança, bem como truques que ajudam a convencer as vítimas a entregarem suas senhas.
“Para ser honesto, o acesso remoto já se tornou o padrão no Brasil – mas temos um dos melhores sistemas de segurança e antifraude para o internet banking do mundo e usar o dispositivo da vítima se tornou a única maneira de manter as fraudes”, explica. “Por outro lado, isso exigiu uma especialização dos criminosos locais e resultou em uma vantagem competitiva quando eles passaram a exportar seu malware para países com uma segurança no internet banking mais baixa”.
O trojan chega às vítimas por meio de mensagens de spam que direcionam para a instalação do programa malicioso (um pacote Microsoft Installer). Uma vez executado, ele realiza um novo download por meio de servidores comprometidos para baixar um arquivo comprimido com o malware.
Depois que o dispositivo é infectado, na maioria das vezes computadores, os dados são enviados para o servidor de telemetria do grupo e o trojan começa a capturar imagens da tela para roubar as senhas bancárias. Além disso, o malware também monitora o uso de carteiras online (e-waletts) de criptomoedas, como Bitcoin, alterando o endereço para direcionar futuras movimentações para a carteira virtual dos criminosos.
O Bizarro compreende mais de 100 técnicas que permitem aos criminosos, por exemplo, exibir mensagens pop-up falsas para os usuários ou mostrar uma página falsa idêntica à do banco.
Para o especialista, a internacionalização do malware brasileiro é um alerta para instituições financeiras e empresas de cibersegurança. Isso porque os métodos utilizados pelo trojan para dificultar a análise e detecção das atividades maliciosas são incomuns fora do país e exigem “alto conhecimento de como o cibercrime nacional funciona”.
“Já do lado dos bancos e empresas que operam com criptomoedas, recomendo que busquem serviços de inteligências de ameaças com informações da região, principalmente se a instituição opera globalmente, pois este conhecimento protegerá a operação e os clientes onde quer que estejam”, finaliza.
