Le nouveau malware en provenance du Brésil, nommé Bizarro, aurait déjà ciblé des dizaines de banques partout dans le monde, dont huit banques françaises.
Il nous vient tout droit de l'éternel pays d'avenir, le Brésil. Bizarro, c'est son nom, est un nouveau cheval de Troie bancaire. Identifié par les équipes de sécurité de Kaspersky, il a déjà ciblé pas moins de 70 banques sud-américaines et européennes, parmi lesquelles huit sont françaises. Le malware, qui a d'abord sévi dans une dimension locale au sein d'un pays où la clandestinité cybercriminelle est très importante, s'est désormais propagé à l'échelle planétaire.
Vous avez dit « bizarre » ? Non, Bizarro !
Bizarro est une nouvelle famille de chevaux de Troie bancaires issue du Brésil. Il a été identifié au Mexique, au Pérou, au Chili, en Allemagne, en Espagne, au Portugal, au Brésil évidemment, mais aussi en France. « En matière de malwares bancaires, nous assistons aujourd’hui à une nouvelle tendance qui change la donne : des acteurs régionaux attaquent désormais activement les utilisateurs non seulement dans leur région mais aussi dans le monde entier. Grâce aux nouvelles techniques employées, les familles de malwares brésiliens ont commencé à proliférer dans d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est un parfait exemple », explique Fabio Assolini, expert en cybersécurité chez Kaspersky.
Kaspersky nous explique qu'à l'instar des malwares de Tétrade (qui regroupe quatre familles de trojans, Guildma, Javali, Melcoz et Grandoreiro), Bizarro se base sur des affiliés et recrute des mules financières. Ces dernières vont alors contribuer aux cyberattaques en transférant des fonds, ou en assurant juste des traductions.
Bizarro dérange d'autant plus par sa capacité à masquer ses traces. Le malware complique en effet la détection et l'analyse des malwares. Et il use de techniques habiles d'ingénierie sociale pour convaincre ses cibles et potentielles victimes de révéler les données bancaires.
Un malware qui use de l'ingénierie sociale pour ensuite lancer des captures d'écran
Pour se propager, Bizarro s'insère dans le pack d'installation Microsoft Installer, téléchargé par les victimes en cliquant sur des liens que l'on retrouve dans des courriers électroniques frauduleux. Bizarro télécharge alors une archive ZIP depuis un site web évidemment mis en place par les hackers, pour ensuite activer toutes ses fonctions malveillantes.
L'étape suivante consiste, pour Bizarro, à envoyer les données au serveur de télémétrie, hébergé sur Azure ou AWS (des serveurs WordPress ont aussi servi de plateformes d'hébergement). Puis le cheval de Troie lance le module de capture d'écran. Selon Kaspersky, Bizarro utilise une porte dérobée qui contient plus de 100 commandes. La majorité de ces dernières sert à afficher de faux pop-up sur l'écran des utilisateurs, leur faisant croire que des mises à jour de sécurité sont en train d'être installées. Le tout en imitant les messages des banques en ligne.
Source : Kaspersky
Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)
Lire d'autres articles
