O cavalo de Troia Bizarro Banking brasileiro chega ao outro lado do Atlântico

O trojan bancário Bizarro, originário do Brasil, agora cruzou o oceano e tem como alvo as vítimas baseadas na Europa, de acordo com pesquisadores de segurança cibernética.

Bizarro é um dos quatro grandes cavalos de Troia bancários que assolam os países da América do Sul há algum tempo. Os quatro são conhecidos coletivamente como Tetrade, e Bizarro é um dos membros mais proeminentes desse grupo notório.

Depois de inicialmente se espalhar pela América do Sul e começar a visar vítimas em países adjacentes ao Brasil, como Chile e Argentina, o Trojan bancário agora está atravessando o lago e infectando vítimas em Portugal, Espanha, França e Itália.

A Bizarro emprega truques inteligentes de engenharia social para tentar atrair suas vítimas para que instalem o malware involuntariamente. A cadeia de distribuição normal inclui e-mails de spam mal-intencionados que contêm um pacote de instalação MSI. Os e-mails fingem ser enviados pelas autoridades fiscais e contêm mensagens importantes que criam um senso de urgência na vítima e a induzem a abrir os arquivos anexados.

O instalador, uma vez executado, obtém um arquivo compactado de um site previamente comprometido, geralmente Amazon Web Services ou servidores Azure. A Bizarro também usou domínios WordPress comprometidos para buscar sua carga útil.

Existem vários componentes dentro do arquivo .zip que transporta a carga útil. Isso inclui um arquivo Delphi .dll e um script que pode chamar uma função maliciosa que é extraída do arquivo .dll.

Depois de implantado, o Trojan bancário faz algo muito visível, mas os usuários regulares podem ainda não estar cientes de que algo está acontecendo. O Bizarro encerraria todos os processos do navegador que encontrasse e forçaria o usuário a reiniciar a sessão. Quando isso acontece e o usuário se conecta novamente ao serviço bancário, o malware captura suas credenciais.

Um pequeno detalhe curioso é que o Bizarro realmente desativa todas as funções de preenchimento automático de formulários em qualquer navegador, de modo que o usuário é forçado a digitar totalmente suas credenciais de login e alimentar todas as sequências de caracteres no malware, que as envia para seu servidor de comando e controle.

O Bizarro possui uma gama assustadora de recursos maliciosos que incluem monitoramento de área de transferência e substituição para redirecionar transferências de criptomoedas, controle remoto de entradas de mouse e teclado, bem como a criação de notificações pop-up falsas.

Resta saber se a disseminação do Trojan continuará no velho continente.