En 2020, les chercheurs Kaspersky ont constaté que quatre chevaux de Troie bancaires originaires d’Amérique du Sud (Guildma, Javali, Melcoz et Grandoreiro) avaient étendu leurs activités dans le monde entier. Cette famille de malwares, connue sous le nom de Tétrade, s’appuyait sur un ensemble de nouvelles techniques innovantes et sophistiquées. Une tendance qui s’est confirmée en 2021 puisqu’un nouvel acteur local, Bizarro, s’est propagé à l’échelle internationale.

Bizarro est une nouvelle famille de chevaux de Troie bancaires créée au Brésil qui sévit désormais en Argentine, au Chili, en Allemagne, en Espagne, au Portugal, en France et en Italie. À l’instar des malwares de Tétrade, Bizarro s’appuie sur des affiliés ou recrute des mules financières qui participent aux attaques en transférant des fonds ou simplement en assurant des traductions. En parallèle, les cybercriminels à l’origine de cette famille de malwares emploient différentes méthodes pour compliquer la détection et l’analyse des malwares, combinées à des techniques d’ingénierie sociale qui permettent de convaincre les cibles de révéler leurs coordonnées bancaires.

Bizarro se propage à partir du pack d’installation MSI (Microsoft Installer) que les victimes téléchargent en cliquant sur des liens contenus dans des emails frauduleux. Une fois lancé, Bizarro télécharge une archive ZIP depuis un site Internet compromis pour activer la totalité de ses fonctions malveillantes. Après avoir envoyé les données au serveur de télémétrie, Bizarro initialise le module de capture d’écran. Jusqu’à présent, les experts Kaspersky ont constaté que Bizarro utilisait des serveurs hébergés sur Azure ou Amazon et des serveurs WordPress corrompus pour stocker les malwares et collecter les données télémétriques.

Selon les chercheurs Kaspersky, la principale composante de Bizarro est la porte dérobée (backdoor) qui contient plus de 100 commandes, dont la plupart servent à afficher de faux pop-up sur l’écran des utilisateurs. Certains de ces messages tentent même d’imiter ceux des banques en ligne.

Un exemple de Bizarro bloquant la page d’identification d’une banque en ligne et faisant croire à l’utilisateur que des mises à jour de sécurité sont en cours d’installation

« Les cybercriminels sont constamment à la recherche de nouvelles méthodes pour propager des logiciels malveillants qui servent à dérober les identifiants utilisés pour les paiements en ligne ou pour se connecter aux plateformes de banque en ligne. En matière de malwares bancaires, nous assistons aujourd’hui à une nouvelle tendance qui change la donne : des acteurs régionaux attaquent désormais activement les utilisateurs non seulement dans leur région mais aussi dans le monde entier. Grâce aux nouvelles techniques employées, les familles de malwares brésiliens ont commencé à proliférer dans d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est un parfait exemple. Ce phénomène devrait inciter à analyser de manière plus approfondie les réseaux cybercriminels régionaux et les dernières données locales en matière de menaces cyber, car celles-ci pourraient vite devenir un problème mondial », commente Fabio Assolini, expert en cybersécurité chez Kaspersky.

Pour en savoir plus sur les caractéristiques techniques de Bizarro, veuillez consulter l’article Securelist.

Afin de protéger les institutions financières des chevaux de Troie bancaires tels que Bizarro, les experts Kaspersky recommandent :
– De fournir aux SOC l’accès aux dernières informations en matière de menaces pour qu’elle soit au fait des nouveaux outils et techniques utilisés par les cybercriminels. L’outil de reporting Financial Threat Intelligence de Kaspersky fournit par exemple les indicateurs de compromission, les règles Yara et les empreintes cryptographiques pour ces menaces ;
– D’optimiser les compétences de l’équipe SOC afin de lui permettre de faire face aux dernières menaces ciblées. La formation en ligne Kaspersky, développée par les experts du GReAT, pourra les aider à effectuer cette mise à niveau ;
– De sensibiliser les clients sur les menaces cyber et les stratégies utilisées par les attaquants et de leur envoyer régulièrement des informations pour les aider à reconnaître les tentatives de fraude et à savoir comment réagir dans ce type de situation ;
– De déployer une solution anti-fraude à même de détecter les fraudes les plus sophistiquées. Par exemple, la solution Kaspersky Fraud Prevention permet de lutter contre les tentatives malveillantes (injections JavaScript, connexion cachée à des outils d’administration à distance et utilisation de sites Internet) à l’étape d’incubation de l’extorsion d’argent, mais aussi d’identifier des comportements anormaux ultérieurs sur des comptes et de détecter des cas d’ingénierie sociale.