En 2020, les chercheurs Kaspersky ont constaté que quatre chevaux de Troie bancaires originaires d’Amérique du Sud (Guildma, Javali, Melcoz et Grandoreiro) avaient étendu leurs activités dans le monde entier. Cette famille de malwares, connue sous le nom de Tétrade, s’appuyait sur un ensemble de nouvelles techniques innovantes et sophistiquées. Une tendance qui s’est confirmée en 2021 puisqu'un nouvel acteur local, Bizarro, s’est propagé à l’échelle internationale.
Bizarro est une nouvelle famille de chevaux de Troie bancaires créée au Brésil qui sévit désormais en Argentine, au Chili, en Allemagne, en Espagne, au Portugal, en France et en Italie. À l’instar des malwares de Tétrade, Bizarro s’appuie sur des affiliés ou recrute des mules financières qui participent aux attaques en transférant des fonds ou simplement en assurant des traductions. En parallèle, les cybercriminels à l’origine de cette famille de malwares emploient différentes méthodes pour compliquer la détection et l’analyse des malwares, combinées à des techniques d'ingénierie sociale qui permettent de convaincre les cibles de révéler leurs coordonnées bancaires.
Bizarro se propage à partir du pack d’installation MSI (Microsoft Installer) que les victimes téléchargent en cliquant sur des liens contenus dans des emails frauduleux. Une fois lancé, Bizarro télécharge une archive ZIP depuis un site Internet compromis pour activer la totalité de ses fonctions malveillantes. Après avoir envoyé les données au serveur de télémétrie, Bizarro initialise le module de capture d’écran. Jusqu’à présent, les experts Kaspersky ont constaté que Bizarro utilisait des serveurs hébergés sur Azure ou Amazon et des serveurs WordPress corrompus pour stocker les malwares et collecter les données télémétriques.
Selon les chercheurs Kaspersky, la principale composante de Bizarro est la porte dérobée (backdoor) qui contient plus de 100 commandes, dont la plupart servent à afficher de faux pop-up sur l’écran des utilisateurs. Certains de ces messages tentent même d’imiter ceux des banques en ligne.
Un exemple de Bizarro bloquant la page d’identification d’une banque en ligne et faisant croire à l’utilisateur que des mises à jour de sécurité sont en cours d’installation
« Les cybercriminels sont constamment à la recherche de nouvelles méthodes pour propager des logiciels malveillants qui servent à dérober les identifiants utilisés pour les paiements en ligne ou pour se connecter aux plateformes de banque en ligne. En matière de malwares bancaires, nous assistons aujourd’hui à une nouvelle tendance qui change la donne : des acteurs régionaux attaquent désormais activement les utilisateurs non seulement dans leur région mais aussi dans le monde entier. Grâce aux nouvelles techniques employées, les familles de malwares brésiliens ont commencé à proliférer dans d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est un parfait exemple. Ce phénomène devrait inciter à analyser de manière plus approfondie les réseaux cybercriminels régionaux et les dernières données locales en matière de menaces cyber, car celles-ci pourraient vite devenir un problème mondial », commente Fabio Assolini, expert en cybersécurité chez Kaspersky.
Pour en savoir plus sur les caractéristiques techniques de Bizarro, veuillez consulter l'article Securelist.
Afin de protéger les institutions financières des chevaux de Troie bancaires tels que Bizarro, les experts Kaspersky recommandent :
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.