Le cheval de Troie bancaire Bizarro utilise une porte dérobée sophistiquée

Un cheval de Troie bancaire brésilien jamais documenté auparavant, surnommé Bizarro, cible les clients de 70 banques dispersées à travers l’Europe et l’Amérique du Sud, ont déclaré des chercheurs.

Selon une analyse de Kaspersky, Bizarro est un malware de smartphone, destiné à capturer les informations d’identification bancaires en ligne et à détourner les portefeuilles Bitcoin des utilisateurs d’Android. Il se propage via les packages Microsoft Installer, qui sont soit téléchargés directement par les victimes à partir de liens dans les e-mails de spam, soit installés via une application trojanisée, selon l’analyse.

Une fois installé, il tue tous les processus de navigateur en cours pour mettre fin à toutes les sessions existantes avec des sites Web bancaires en ligne. Ainsi, lorsqu’un utilisateur lance une session de banque sur son smartphone, il doit se reconnecter, ce qui permet au logiciel malveillant de récolter les détails. Pour maximiser son succès, Bizarro désactive la saisie semi-automatique dans le navigateur et fait même apparaître de fausses fenêtres contextuelles pour récupérer les codes d’authentification à deux facteurs, ont ajouté les chercheurs.

Bizarro dispose également d’un module de capture d’écran.

«Il charge la bibliothèque magnification.dll et obtient l’adresse de la fonction obsolète de l’API MagSetImageScalingCallback», ont expliqué les chercheurs de Kaspersky. «Avec son aide, le cheval de Troie peut capturer l’écran d’un utilisateur et surveiller en permanence le presse-papiers du système, à la recherche d’une adresse de portefeuille Bitcoin. S’il en trouve une, cette adresse est remplacé par celle d’un portefeuille appartenant aux développeurs de logiciels malveillants. »

Et enfin, Bizarro dispose également d’un module principal de porte dérobée capable d’exécuter plus de 100 commandes, selon l’analyse.

Une porte dérobée complètement fonctionnelle

«Le composant principal de la porte dérobée ne démarre pas tant que Bizarro n’a pas détecté une connexion à l’un des systèmes bancaires en ligne codés en dur», ont expliqué les chercheurs. «Le logiciel malveillant fait cela en énumérant toutes les fenêtres, en collectant leurs noms. Les espaces blancs, les lettres accentuées (telles que ñ ou á) et les symboles non alphabétiques tels que les tirets sont supprimés des chaînes de nom de fenêtre. Si un nom de fenêtre correspond à l’une des chaînes codées en dur, la porte dérobée continue de démarrer. »

Il y’a plusieurs sortes de commandes:

  • Commandes qui permettent aux opérateurs de commande et de contrôle (C2) d’obtenir des données sur la victime et de gérer l’état de la connexion; par exemple, la demande de la version de Bizarro, le nom du système d’exploitation, le nom de l’ordinateur, l’identifiant unique de Bizarro, le logiciel antivirus installé et le nom de code utilisé pour la banque qui a été consultée.
  • Commandes qui permettent aux attaquants de rechercher et de voler les fichiers situés sur le disque dur de la victime, et celles qui permettent aux adversaires d’installer des fichiers sur l’appareil de la victime.
  • Commandes permettant aux attaquants de contrôler la souris et le clavier de l’utilisateur.
  • Commandes qui permettent aux attaquants de contrôler le fonctionnement de la porte dérobée, d’arrêter, de redémarrer ou de détruire le système d’exploitation et de limiter les fonctionnalités de Windows.
  • Commandes qui enregistrent les frappes.
  • Commandes qui affichent divers messages qui incitent les utilisateurs à donner aux attaquants l’accès aux comptes bancaires, y compris de fausses fenêtres contextuelles (c’est-à-dire des messages tels que « les données saisies sont incorrectes, veuillez réessayer »; des messages d’erreur demandant à l’utilisateur de saisir un code de confirmation; et ceux qui indiquent à l’utilisateur que son ordinateur doit être redémarré pour terminer une opération liée à la sécurité).
  • Commandes qui permettent à Bizarro d’imiter les systèmes bancaires en ligne. Selon Kaspersky, «Pour afficher de tels messages, Bizarro doit télécharger une image JPEG contenant le logo de la banque et les instructions que la victime doit suivre. Ces images sont stockées dans le répertoire du profil utilisateur sous une forme cryptée. Avant qu’une image ne soit utilisée dans un message, elle est déchiffrée avec un algorithme XOR multi-octets. Comme les messages sont téléchargés à partir du serveur C2, ils ne peuvent être trouvés que sur les machines des victimes. « 
  • Commandes qui activent les messages personnalisés.

«Les messages personnalisés que Bizarro peut afficher sont des messages qui gèlent la machine de la victime, permettant ainsi aux attaquants de gagner du temps», selon l’analyse. «Lorsqu’une commande pour afficher un message comme celui-ci est reçue, la barre des tâches est masquée, l’écran est grisé et le message lui-même est affiché. Pendant que le message est affiché, l’utilisateur ne peut pas le fermer ou ouvrir le Gestionnaire des tâches. Le message lui-même indique à l’utilisateur que le système est compromis et doit donc être mis à jour ou que des composants de sécurité et de performance du navigateur sont en cours d’installation. Ce type de message contient également une barre de progression qui change avec le temps. »

Bizarro a rejoint Tétrade

Bizarro est actif en Argentine, au Chili, en France, en Allemagne, en Italie, au Portugal et en Espagne, ont déclaré des chercheurs. Cette propagation mondiale est typique d’un groupe de souches de logiciels malveillants bancaires originaires du Brésil, composé de Grandoreiro, Guildma, Javali et Melcoz.

Collectivement connues sous le nom de «Tétrade» (traduit par «un groupe de quatre»), ces familles utilisent également une gamme de techniques innovantes et sophistiquées sur le plan technique. Bizarro est le dernier à rejoindre le club (ce qui, d’ailleurs, rend le nom du groupe un peu trompeur).

bizarro
Source: Kaspersky

Les chercheurs ont déclaré que Bizarro était soutenu par une opération assez étendue, qui comprend l’utilisation d’affiliés et le recrutement de mules pour remplir diverses fonctions. Les différentes tâches incluent la réalisation d’attaques initiales pour prendre pied sur les appareils des victimes; aider avec des retraits pour blanchir des fonds mal acquis; et même une aide à la traduction.

«Les cybercriminels recherchent constamment de nouvelles façons de diffuser des logiciels malveillants qui volent les informations d’identification des systèmes de paiement électronique et de banque en ligne», a déclaré Fabio Assolini, expert en sécurité chez Kaspersky, dans un communiqué.

«Aujourd’hui, nous assistons à une tendance qui change la donne dans la distribution de logiciels malveillants bancaires: les acteurs régionaux attaquent activement les utilisateurs, non seulement dans leur région, mais également dans le monde entier. En mettant en œuvre de nouvelles techniques, des familles de malwares brésiliens ont commencé à se distribuer sur d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est l’exemple le plus clair. Cela devrait servir de signe pour mettre davantage l’accent sur l’analyse des criminels régionaux et des renseignements locaux sur les menaces, cela pourrait devenir un problème d’inquiétude mondiale. »

Vous pourriez aussi aimer
Laisser un commentaire