Jeudi 20 Mai 2021
Laurent Leloup

Malwares brésiliens en augmentation : Kaspersky découvre qu’un nouveau cheval de Troie bancaire se propage à l’échelle mondiale

Avertissement : Le texte ci-dessous est un communiqué de presse qui n'a pas été rédigé par Finyear.com.
Disclaimer: The text below is a press release that was not written by Finyear.com.


Les chercheurs Kaspersky ont découvert Bizarro, un nouveau malware bancaire en provenance du Brésil ayant ciblé 70 banques sud-américaines et européennes, dont 8 françaises.

En 2020, les chercheurs Kaspersky ont constaté que quatre chevaux de Troie bancaires originaires d’Amérique du Sud (Guildma, Javali, Melcoz et Grandoreiro) avaient étendu leurs activités dans le monde entier. Cette famille de malwares, connue sous le nom de Tétrade, s’appuyait sur un ensemble de nouvelles techniques innovantes et sophistiquées. Une tendance qui s’est confirmée en 2021 puisqu'un nouvel acteur local, Bizarro, s’est propagé à l’échelle internationale.

Bizarro est une nouvelle famille de chevaux de Troie bancaires créée au Brésil qui sévit désormais en Argentine, au Chili, en Allemagne, en Espagne, au Portugal, en France et en Italie. À l’instar des malwares de Tétrade, Bizarro s’appuie sur des affiliés ou recrute des mules financières qui participent aux attaques en transférant des fonds ou simplement en assurant des traductions. En parallèle, les cybercriminels à l’origine de cette famille de malwares emploient différentes méthodes pour compliquer la détection et l’analyse des malwares, combinées à des techniques d'ingénierie sociale qui permettent de convaincre les cibles de révéler leurs coordonnées bancaires.

Bizarro se propage à partir du pack d’installation MSI (Microsoft Installer) que les victimes téléchargent en cliquant sur des liens contenus dans des emails frauduleux. Une fois lancé, Bizarro télécharge une archive ZIP depuis un site Internet compromis pour activer la totalité de ses fonctions malveillantes. Après avoir envoyé les données au serveur de télémétrie, Bizarro initialise le module de capture d’écran. Jusqu’à présent, les experts Kaspersky ont constaté que Bizarro utilisait des serveurs hébergés sur Azure ou Amazon et des serveurs WordPress corrompus pour stocker les malwares et collecter les données télémétriques.

Selon les chercheurs Kaspersky, la principale composante de Bizarro est la porte dérobée (backdoor) qui contient plus de 100 commandes, dont la plupart servent à afficher de faux pop-up sur l’écran des utilisateurs. Certains de ces messages tentent même d’imiter ceux des banques en ligne.

Un exemple de Bizarro bloquant la page d’identification d’une banque en ligne et faisant croire à l’utilisateur que des mises à jour de sécurité sont en cours d’installation

« Les cybercriminels sont constamment à la recherche de nouvelles méthodes pour propager des logiciels malveillants qui servent à dérober les identifiants utilisés pour les paiements en ligne ou pour se connecter aux plateformes de banque en ligne. En matière de malwares bancaires, nous assistons aujourd’hui à une nouvelle tendance qui change la donne : des acteurs régionaux attaquent désormais activement les utilisateurs non seulement dans leur région mais aussi dans le monde entier. Grâce aux nouvelles techniques employées, les familles de malwares brésiliens ont commencé à proliférer dans d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est un parfait exemple. Ce phénomène devrait inciter à analyser de manière plus approfondie les réseaux cybercriminels régionaux et les dernières données locales en matière de menaces cyber, car celles-ci pourraient vite devenir un problème mondial », commente Fabio Assolini, expert en cybersécurité chez Kaspersky.

Afin de protéger les institutions financières des chevaux de Troie bancaires tels que Bizarro, les experts Kaspersky recommandent :
• De fournir aux SOC l’accès aux dernières informations en matière de menaces pour qu’elle soit au fait des nouveaux outils et techniques utilisés par les cybercriminels. L’outil de reporting Financial Threat Intelligence de Kaspersky fournit par exemple les indicateurs de compromission, les règles Yara et les empreintes cryptographiques pour ces menaces ;
• D’optimiser les compétences de l’équipe SOC afin de lui permettre de faire face aux dernières menaces ciblées. La formation en ligne Kaspersky, développée par les experts du GReAT, pourra les aider à effectuer cette mise à niveau ;
• De sensibiliser les clients sur les menaces cyber et les stratégies utilisées par les attaquants et de leur envoyer régulièrement des informations pour les aider à reconnaître les tentatives de fraude et à savoir comment réagir dans ce type de situation ;
• De déployer une solution anti-fraude à même de détecter les fraudes les plus sophistiquées. Par exemple, la solution Kaspersky Fraud Prevention permet de lutter contre les tentatives malveillantes (injections JavaScript, connexion cachée à des outils d’administration à distance et utilisation de sites Internet) à l’étape d’incubation de l’extorsion d’argent, mais aussi d’identifier des comportements anormaux ultérieurs sur des comptes et de détecter des cas d’ingénierie sociale.

A propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.
www.kaspersky.fr

Articles similaires