Bizarro, cheval de Troie bancaire brésilien, se propage partout dans le monde

18 mai 2021 à 16h09
10
malware © shutterstock.com
© Shutterstock.com

Le nouveau malware en provenance du Brésil, nommé Bizarro, aurait déjà ciblé des dizaines de banques partout dans le monde, dont huit banques françaises.

Il nous vient tout droit de l'éternel pays d'avenir, le Brésil. Bizarro, c'est son nom, est un nouveau cheval de Troie bancaire. Identifié par les équipes de sécurité de Kaspersky, il a déjà ciblé pas moins de 70 banques sud-américaines et européennes, parmi lesquelles huit sont françaises. Le malware, qui a d'abord sévi dans une dimension locale au sein d'un pays où la clandestinité cybercriminelle est très importante, s'est désormais propagé à l'échelle planétaire.

Vous avez dit « bizarre » ? Non, Bizarro !

Bizarro est une nouvelle famille de chevaux de Troie bancaires issue du Brésil. Il a été identifié au Mexique, au Pérou, au Chili, en Allemagne, en Espagne, au Portugal, au Brésil évidemment, mais aussi en France. « En matière de malwares bancaires, nous assistons aujourd’hui à une nouvelle tendance qui change la donne : des acteurs régionaux attaquent désormais activement les utilisateurs non seulement dans leur région mais aussi dans le monde entier. Grâce aux nouvelles techniques employées, les familles de malwares brésiliens ont commencé à proliférer dans d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est un parfait exemple », explique Fabio Assolini, expert en cybersécurité chez Kaspersky.

Kaspersky nous explique qu'à l'instar des malwares de Tétrade (qui regroupe quatre familles de trojans, Guildma, Javali, Melcoz et Grandoreiro), Bizarro se base sur des affiliés et recrute des mules financières. Ces dernières vont alors contribuer aux cyberattaques en transférant des fonds, ou en assurant juste des traductions.

Bizarro dérange d'autant plus par sa capacité à masquer ses traces. Le malware complique en effet la détection et l'analyse des malwares. Et il use de techniques habiles d'ingénierie sociale pour convaincre ses cibles et potentielles victimes de révéler les données bancaires.

Un malware qui use de l'ingénierie sociale pour ensuite lancer des captures d'écran

Pour se propager, Bizarro s'insère dans le pack d'installation Microsoft Installer, téléchargé par les victimes en cliquant sur des liens que l'on retrouve dans des courriers électroniques frauduleux. Bizarro télécharge alors une archive ZIP depuis un site web évidemment mis en place par les hackers, pour ensuite activer toutes ses fonctions malveillantes.

L'étape suivante consiste, pour Bizarro, à envoyer les données au serveur de télémétrie, hébergé sur Azure ou AWS (des serveurs WordPress ont aussi servi de plateformes d'hébergement). Puis le cheval de Troie lance le module de capture d'écran. Selon Kaspersky, Bizarro utilise une porte dérobée qui contient plus de 100 commandes. La majorité de ces dernières sert à afficher de faux pop-up sur l'écran des utilisateurs, leur faisant croire que des mises à jour de sécurité sont en train d'être installées. Le tout en imitant les messages des banques en ligne.

Bizarro Kaspersky © Kaspersky
Un exemple de Bizarro bloquant la page d’identification d’une banque en ligne et faisant croire à l’utilisateur que des mises à jour de sécurité sont en cours d’installation (© Kaspersky)

Source : Kaspersky

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
8
juju251
Messages supprimés pour entre autres : Hors sujet, prosélytisme.<br /> Faites vos jeux, rien ne va plus !<br /> P.S. : On reste dans le sujet et civilisés, merci.
GRITI
On sait quels OS vise le malware?
Augusto
Ah ! Ces variants brésiliens alors ! On a pas fini d’en parler !
AlexLex14
À ma connaissance : sur Windows uniquement, en s’insérant dans le pack d’installation Microsoft Installer.<br /> Au fait, GG pour ton intégration dans l’équipe de modération @GRITI C’est mérité
GRITI
AlexLex14:<br /> pack d’installation Microsoft Installer.<br /> Le boulet…Et je l’ai vu pourtant…Shame on me…<br /> AlexLex14:<br /> Au fait, GG pour ton intégration dans l’équipe de modération @GRITI C’est mérité <br /> Merci bien.
tangofever
@Samuel, Vivement le variant Russe.
GRITI
Ni la Chine et le reste de l’Asie, ni l’Afrique, ni l’Australie etc…
pocketalex
Fait gaffe, les pensées complotistes commencent exactement avec ce genre de question
linkin440
«&nbsp;Pour se propager, Bizarro s’insère dans le pack d’installation Microsoft Installer, téléchargé par les victimes en cliquant sur des liens que l’on retrouve dans des courriers électroniques frauduleux. Bizarro télécharge alors une archive ZIP depuis un site web évidemment mis en place par les hackers, pour ensuite activer toutes ses fonctions malveillantes.&nbsp;»<br /> Tout est dit. Ne pas ouvrir des mails dont on est pas sûr à 100% de la provenance.
Oldtimer
Que fait la SPA ? Tellement de chevaux maltraités !<br /> Plus sérieusement, les antivirus ne le détectent pas ?
Voir tous les messages sur le forum

Lectures liées

Un antivirus efficace et pas cher ? Profitez d'un abonnement Bitdefender à -60%
Norton fait les soldes ! En quoi ses antivirus à -60% est une aubaine ?
Crypto.com piraté, des centaines de comptes touchés et plusieurs millions de dollars dans la nature
La Croix-Rouge se fait voler les données de plus de 500 000 personnes hautement vulnérables
Rends l'argent ! Cacophonie et négociations après un vol de 3 millions de dollars en crypto
Norton casse les prix de ses antivirus ! Pourquoi se décider à les installer ?
Pegasus utilisé par la police israélienne pour surveiller les citoyens ?
Cybercriminalité : Europol coupe le câble de VPNLab.net
Snapchat Quick Add : rendez facilement l'ajout d'amis plus sûr pour vos ados
Une promotion de 60% sur les abonnements antivirus Bitdefender !
Haut de page