Saiba como funciona o Bizarro, pacote de vírus criado por brasileiros que rouba dados de sites de bancos

·2 minuto de leitura

Enquanto as instituições tentam aprimorar as suas ferramentas de segurança, os criminosos virtuais também buscam novas maneiras de conseguir invadir computadores e sistemas alheios para roubar dados e, assim, dar golpes.

Pesquisadores da Kaspersky, empresa internacional de cibersegurança e privacidade digital, descobriram agora que um novo trojan brasileiro — programa que tem um pacote de vírus e, na maioria das vezes, é usado para se obter informações de outros computadores ou executar operações indevidas — está atacando consumidores na Europa e na América do Sul.

O malware recebeu o nome de Bizarro e usa o modelo de recrutamento e afiliação para expandir sua operação para outros países ao redor do mundo. Assim, já é capaz de roubar as credenciais de internet banking de 70 bancos no total, presentes em Argentina, Alemanha, Chile, Espanha, França, Itália e Portugal, além do Brasil.

Fabio Assolini, analista sênior da Kaspersky no Brasil, diz que o Brasil tem um dos melhores sistemas de segurança e antifraude para o internet banking do mundo, o que exigiu uma especialização dos criminosos locais e resultou em uma vantagem competitiva quando eles passaram a exportar seu malware para países com uma segurança mais baixa.

— O Bizarro é uma das famílias de trojans financeiro brasileira mais ativas no exterior, tendo a França e o Chile como principais alvos. Este sucesso se deve pela sofisticação do golpe. Os métodos para dificultar a análise e a detecção das atividades maliciosas são incomuns no exterior — comenta Assolini.

E ele acrescenta:

— Já do lado dos bancos e das empresas que operam com criptomoedas, recomendo que busquem serviços de inteligência de ameaças com informações da região, principalmente se a instituição opera globalmente, pois este conhecimento protegerá a operação e os clientes onde quer que estejam.

Tecnicamente, os desenvolvedores deste malware estão adotando uma variedade de técnicas para complicar a análise e detecção da infecção pelas soluções de segurança, assim como truques de engenharia social para convencer as vítimas a entregar suas credenciais bancárias.

A primeira etapa é quando as vítimas têm contato com o Bizarro por meio de mensagens de spam que vão baixar o instalador do programa malicioso (um pacote Microsoft Installer - MSI).

Ao ser executado, este realiza um novo download, acessando servidores comprometidos para baixar um arquivo comprimido ZIP com o malware que tem as funções bancárias fraudulentas.

Após finalizar o processo de infecção, os dados são enviados para o servidor de telemetria do grupo, e o trojan inicia seu módulo de captura de tela para roubar as credenciais bancárias.

Outra função ativada é o monitoramento de carteiras online de Bitcoin. Caso seja encontrado uma, o trojan substitui o endereço para direcionar futuros créditos para a carteira virtual dos criminosos.

Este componente ainda contém mais de cem comandos que podem, por exemplo, exibir mensagens pop-ups falsas para os usuários ou mostrar uma página falsa idêntica à do banco.

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos