Bizarro, cheval de Troie bancaire brésilien, se propage partout dans le monde

malware © shutterstock.com
© Shutterstock.com

Le nouveau malware en provenance du Brésil, nommé Bizarro, aurait déjà ciblé des dizaines de banques partout dans le monde, dont huit banques françaises.

Il nous vient tout droit de l'éternel pays d'avenir, le Brésil. Bizarro, c'est son nom, est un nouveau cheval de Troie bancaire. Identifié par les équipes de sécurité de Kaspersky, il a déjà ciblé pas moins de 70 banques sud-américaines et européennes, parmi lesquelles huit sont françaises. Le malware, qui a d'abord sévi dans une dimension locale au sein d'un pays où la clandestinité cybercriminelle est très importante, s'est désormais propagé à l'échelle planétaire.

Vous avez dit « bizarre » ? Non, Bizarro !

Bizarro est une nouvelle famille de chevaux de Troie bancaires issue du Brésil. Il a été identifié au Mexique, au Pérou, au Chili, en Allemagne, en Espagne, au Portugal, au Brésil évidemment, mais aussi en France. « En matière de malwares bancaires, nous assistons aujourd’hui à une nouvelle tendance qui change la donne : des acteurs régionaux attaquent désormais activement les utilisateurs non seulement dans leur région mais aussi dans le monde entier. Grâce aux nouvelles techniques employées, les familles de malwares brésiliens ont commencé à proliférer dans d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est un parfait exemple », explique Fabio Assolini, expert en cybersécurité chez Kaspersky.

Kaspersky nous explique qu'à l'instar des malwares de Tétrade (qui regroupe quatre familles de trojans, Guildma, Javali, Melcoz et Grandoreiro), Bizarro se base sur des affiliés et recrute des mules financières. Ces dernières vont alors contribuer aux cyberattaques en transférant des fonds, ou en assurant juste des traductions.

Bizarro dérange d'autant plus par sa capacité à masquer ses traces. Le malware complique en effet la détection et l'analyse des malwares. Et il use de techniques habiles d'ingénierie sociale pour convaincre ses cibles et potentielles victimes de révéler les données bancaires.

Un malware qui use de l'ingénierie sociale pour ensuite lancer des captures d'écran

Pour se propager, Bizarro s'insère dans le pack d'installation Microsoft Installer, téléchargé par les victimes en cliquant sur des liens que l'on retrouve dans des courriers électroniques frauduleux. Bizarro télécharge alors une archive ZIP depuis un site web évidemment mis en place par les hackers, pour ensuite activer toutes ses fonctions malveillantes.

L'étape suivante consiste, pour Bizarro, à envoyer les données au serveur de télémétrie, hébergé sur Azure ou AWS (des serveurs WordPress ont aussi servi de plateformes d'hébergement). Puis le cheval de Troie lance le module de capture d'écran. Selon Kaspersky, Bizarro utilise une porte dérobée qui contient plus de 100 commandes. La majorité de ces dernières sert à afficher de faux pop-up sur l'écran des utilisateurs, leur faisant croire que des mises à jour de sécurité sont en train d'être installées. Le tout en imitant les messages des banques en ligne.

Bizarro Kaspersky © Kaspersky
Un exemple de Bizarro bloquant la page d’identification d’une banque en ligne et faisant croire à l’utilisateur que des mises à jour de sécurité sont en cours d’installation (© Kaspersky)

Source : Kaspersky

Modifié le 18/05/2021 à 16h09
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
8
Voir tous les messages sur le forum

Lectures liées

L'idée inutile donc indispensable du jour : faire tourner Doom sur une lampe connectée IKEA
Un malware empêche ses victimes d’aller sur des sites de téléchargement illégal
Des hackers envoient des Ledger trafiqués pour dérober des crypto-monnaies
Antivirus : Pourquoi ce deal Norton 360 Deluxe est imbattable !
1,2 million d'entrées dérobées sur Pôle Emploi : finalement, le hacker aurait renoncé à les mettre en vente par
Euro 2021 :  sélection de 3 VPN pas chers pour regarder les matchs en streaming
Apple Private Relay n'est pas destiné à remplacer votre VPN
Une plainte a été déposée contre l’IAB Tech Lab et l’accuse de
Pour l'OTAN, une cyberattaque peut être considérée comme une véritable agression armée
Quand les pirates se tournent vers le SEO pour propager des malwares
Haut de page