Malwares brésiliens en augmentation : Kaspersky découvre qu’un nouveau cheval de Troie bancaire se propage à l’échelle mondiale
Les chercheurs Kaspersky ont découvert Bizarro, un nouveau malware bancaire en provenance du Brésil ayant ciblé 70 banques sud-américaines et européennes, dont 8 françaises.
En 2020, les chercheurs Kaspersky ont constaté que quatre chevaux de Troie bancaires originaires d’Amérique du Sud (Guildma, Javali, Melcoz et Grandoreiro) avaient étendu leurs activités dans le monde entier. Cette famille de malwares, connue sous le nom de Tétrade, s’appuyait sur un ensemble de nouvelles techniques innovantes et sophistiquées. Une tendance qui s’est confirmée en 2021 puisqu'un nouvel acteur local, Bizarro, s’est propagé à l’échelle internationale.
Bizarro est une nouvelle famille de chevaux de Troie bancaires créée au Brésil qui sévit désormais en Argentine, au Chili, en Allemagne, en Espagne, au Portugal, en France et en Italie. À l’instar des malwares de Tétrade, Bizarro s’appuie sur des affiliés ou recrute des mules financières qui participent aux attaques en transférant des fonds ou simplement en assurant des traductions. En parallèle, les cybercriminels à l’origine de cette famille de malwares emploient différentes méthodes pour compliquer la détection et l’analyse des malwares, combinées à des techniques d'ingénierie sociale qui permettent de convaincre les cibles de révéler leurs coordonnées bancaires.
Bizarro se propage à partir du pack d’installation MSI (Microsoft Installer) que les victimes téléchargent en cliquant sur des liens contenus dans des emails frauduleux. Une fois lancé, Bizarro télécharge une archive ZIP depuis un site Internet compromis pour activer la totalité de ses fonctions malveillantes. Après avoir envoyé les données au serveur de télémétrie, Bizarro initialise le module de capture d’écran. Jusqu’à présent, les experts Kaspersky ont constaté que Bizarro utilisait des serveurs hébergés sur Azure ou Amazon et des serveurs WordPress corrompus pour stocker les malwares et collecter les données télémétriques.
Selon les chercheurs Kaspersky, la principale composante de Bizarro est la porte dérobée (backdoor) qui contient plus de 100 commandes, dont la plupart servent à afficher de faux pop-up sur l’écran des utilisateurs. Certains de ces messages tentent même d’imiter ceux des banques en ligne.
Un exemple de Bizarro bloquant la page d’identification d’une banque en ligne et faisant croire à l’utilisateur que des mises à jour de sécurité sont en cours d’installation
« Les cybercriminels sont constamment à la recherche de nouvelles méthodes pour propager des logiciels malveillants qui servent à dérober les identifiants utilisés pour les paiements en ligne ou pour se connecter aux plateformes de banque en ligne. En matière de malwares bancaires, nous assistons aujourd’hui à une nouvelle tendance qui change la donne : des acteurs régionaux attaquent désormais activement les utilisateurs non seulement dans leur région mais aussi dans le monde entier. Grâce aux nouvelles techniques employées, les familles de malwares brésiliens ont commencé à proliférer dans d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est un parfait exemple. Ce phénomène devrait inciter à analyser de manière plus approfondie les réseaux cybercriminels régionaux et les dernières données locales en matière de menaces cyber, car celles-ci pourraient vite devenir un problème mondial », commente Fabio Assolini, expert en cybersécurité chez Kaspersky.
Pour en savoir plus sur les caractéristiques techniques de Bizarro, veuillez consulter l'article Securelist.
Afin de protéger les institutions financières des chevaux de Troie bancaires tels que Bizarro, les experts Kaspersky recommandent :
- De fournir aux SOC l’accès aux dernières informations en matière de menaces pour qu’elle soit au fait des nouveaux outils et techniques utilisés par les cybercriminels. L’outil de reporting Financial Threat Intelligence de Kaspersky fournit par exemple les indicateurs de compromission, les règles Yara et les empreintes cryptographiques pour ces menaces ;
- D’optimiser les compétences de l’équipe SOC afin de lui permettre de faire face aux dernières menaces ciblées. La formation en ligne Kaspersky, développée par les experts du GReAT, pourra les aider à effectuer cette mise à niveau ;
- De sensibiliser les clients sur les menaces cyber et les stratégies utilisées par les attaquants et de leur envoyer régulièrement des informations pour les aider à reconnaître les tentatives de fraude et à savoir comment réagir dans ce type de situation ;
- De déployer une solution anti-fraude à même de détecter les fraudes les plus sophistiquées. Par exemple, la solution Kaspersky Fraud Prevention permet de lutter contre les tentatives malveillantes (injections JavaScript, connexion cachée à des outils d’administration à distance et utilisation de sites Internet) à l’étape d’incubation de l’extorsion d’argent, mais aussi d’identifier des comportements anormaux ultérieurs sur des comptes et de détecter des cas d’ingénierie sociale.
A propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.
Malwares brésiliens en augmentation : Kaspersky découvre qu’un nouveau cheval de Troie bancaire se propage à l’échelle mondiale
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >