{"id":17499,"date":"2021-05-17T20:14:59","date_gmt":"2021-05-17T23:14:59","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17499"},"modified":"2022-05-05T09:01:10","modified_gmt":"2022-05-05T12:01:10","slug":"hackers-brasileiros-exportam-trojan-internet-banking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hackers-brasileiros-exportam-trojan-internet-banking\/17499\/","title":{"rendered":"Hackers brasileiros exportam trojan que ataca Internet Banking"},"content":{"rendered":"

Nossos pesquisadores descobriram um novo trojan brasileiro atacando consumidores na Europa e na Am\u00e9rica do Sul. Seguindo os passos do Tetrade<\/a>, o Bizarro <\/em><\/a>est\u00e1 preparado para roubar as credenciais de Internet Banking de 70 bancos no total. \u00c9 a sexta fam\u00edlia de malware nacional que usa o modelo de recrutamento e afilia\u00e7\u00e3o para expandir opera\u00e7\u00f5es para outros pa\u00edses.<\/p>\n

Ano passado, anunciamos a Tetrade, fam\u00edlia formada pelos trojans Guildma, Javali, Melcoz e Grandoreiro \u2013 os primeiros a iniciarem a opera\u00e7\u00e3o internacional. Mais para o fim do mesmo ano, foram anunciados as descobertas do Amavaldo e do Ghimob<\/a> \u2013 este focado em fraudes no Mobile Banking. Conforme previsto<\/a> por nossa Equipe Global de Pesquisa e An\u00e1lise da Kaspersky na Am\u00e9rica Latina, esta tend\u00eancia foi seguida por novas fam\u00edlias \u2013 e a Bizarro \u00e9 a primeira.<\/p>\n

Al\u00e9m do Brasil, este trojan est\u00e1 atuando na Argentina, Alemanha, Chile, Espanha, Fran\u00e7a, It\u00e1lia e Portugal. Assim como seus antecessores, o Bizarro est\u00e1 recrutando e se associando com mulas para operacionalizar o ataque no exterior, sendo que estes parceiros podem apoiar nas fraudes ou apenas atuar na retirada do dinheiro roubado. Tecnicamente, os desenvolvedores deste malware est\u00e3o adotando uma variedade de t\u00e9cnicas para complicar a an\u00e1lise e detec\u00e7\u00e3o da infec\u00e7\u00e3o pelas solu\u00e7\u00f5es de seguran\u00e7a, assim como truques de engenharia social para convencer as v\u00edtimas a entregar suas credenciais banc\u00e1rias.<\/p>\n

\"\"<\/p>\n

O Bizarro<\/em> \u00e9 distribu\u00eddo \u00e0s v\u00edtimas por meio de mensagens de spam que ir\u00e3o baixar o instalador do programa malicioso (um pacote Microsoft Installer \u2013 MSI). Ao ser executado, acessa servidores comprometidos para baixar um arquivo ZIP com o malware que tem as fun\u00e7\u00f5es banc\u00e1rias. Ap\u00f3s finalizar o processo de infec\u00e7\u00e3o, os dados s\u00e3o enviados para o servidor de telemetria do grupo e o trojan inicia seu m\u00f3dulo de captura de tela para roubar as credenciais. Outra fun\u00e7\u00e3o ativada \u00e9 o monitoramento de carteiras Bitcoin. Caso seja encontrada uma, o trojan substitui o endere\u00e7o para direcionar futuros cr\u00e9ditos para a carteira dos criminosos.<\/p>\n

Para nossos pesquisadores na Am\u00e9rica Latina, o acesso remoto ao computador infectado \u00e9 a parte mais importante do Bizarro<\/em> \u2013 \u00e9 o que permite o roubo das credenciais financeiras \u2013 e, at\u00e9 o momento, ele monitora 70 bancos que operam na Am\u00e9rica do Sul e Europa. Al\u00e9m disso, este componente cont\u00e9m mais de 100 comandos que podem, por exemplo, exibir mensagens pop-up falsas para os usu\u00e1rios ou mostrar uma p\u00e1gina falsa id\u00eantica \u00e0 do banco.<\/p>\n

\"Exemplo

Exemplo de bloqueio de p\u00e1gina de login informando o cliente que atualiza\u00e7\u00f5es de seguran\u00e7a est\u00e3o sendo instaladas<\/p><\/div>\n

\u00a0<\/p>\n

\u201cO Bizarro<\/em> \u00e9 uma das fam\u00edlias de trojans financeiro brasileira mais ativas no exterior, tendo a Fran\u00e7a e o Chile como principais alvos. Este sucesso se deve pela sofistica\u00e7\u00e3o do golpe. Para ser honesto, o acesso remoto j\u00e1 se tornou o padr\u00e3o no Brasil \u2013 mas temos um dos melhores sistemas de seguran\u00e7a e antifraude para o Internet Banking do mundo e usar o dispositivo da v\u00edtima se tornou a \u00fanica maneira de manter as fraudes. Por outro lado, isso exigiu uma especializa\u00e7\u00e3o dos criminosos locais e resultou em uma vantagem competitiva quando passaram a exportar seu malware para pa\u00edses com uma seguran\u00e7a no Internet Banking mais baixa\u201d, avalia Fabio Assolini, analista s\u00eanior da Kaspersky no Brasil .<\/p>\n

Ele ressalta ainda que a internacionaliza\u00e7\u00e3o do malware brasileiro deve servir de sinal para institui\u00e7\u00f5es financeiras e demais empresas de ciberseguran\u00e7a. \u201cOs m\u00e9todos que o Bizarro<\/em> utiliza para dificultar a an\u00e1lise e detec\u00e7\u00e3o das atividades maliciosas s\u00e3o incomuns fora do Pa\u00eds\u201d, explica. \u201cIsto exige um alto conhecimento de como o cibercrime nacional funciona para poder proteger os clientes. J\u00e1 do lado dos bancos e empresas que operam com criptomoedas, recomendo que busquem servi\u00e7os de intelig\u00eancia de amea\u00e7as<\/a> com informa\u00e7\u00f5es da regi\u00e3o, principalmente se a institui\u00e7\u00e3o opera globalmente.\u201d<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Trojan Bizarro tamb\u00e9m \u00e9 a sexta fam\u00edlia de golpe financeiro que se expande para o exterior. Fran\u00e7a e Chile s\u00e3o os principais alvos.<\/p>\n","protected":false},"author":2706,"featured_media":13894,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[218,2723,415,91,92],"class_list":{"0":"post-17499","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-ameacas","10":"tag-bizarro","11":"tag-great","12":"tag-internet-banking","13":"tag-trojan"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hackers-brasileiros-exportam-trojan-internet-banking\/17499\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas\/","name":"amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17499","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17499"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17499\/revisions"}],"predecessor-version":[{"id":17503,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17499\/revisions\/17503"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/13894"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17499"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17499"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17499"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}