© Shutterstock.com
© Shutterstock.com

Le nouveau malware en provenance du Brésil, nommé Bizarro, aurait déjà ciblé des dizaines de banques partout dans le monde, dont huit banques françaises.

Il nous vient tout droit de l'éternel pays d'avenir, le Brésil. Bizarro, c'est son nom, est un nouveau cheval de Troie bancaire. Identifié par les équipes de sécurité de Kaspersky, il a déjà ciblé pas moins de 70 banques sud-américaines et européennes, parmi lesquelles huit sont françaises. Le malware, qui a d'abord sévi dans une dimension locale au sein d'un pays où la clandestinité cybercriminelle est très importante, s'est désormais propagé à l'échelle planétaire.

Lire aussi :
Les Français, encore (trop) peu familiers avec le jargon de la cybersécurité

Vous avez dit « bizarre » ? Non, Bizarro !

Bizarro est une nouvelle famille de chevaux de Troie bancaires issue du Brésil. Il a été identifié au Mexique, au Pérou, au Chili, en Allemagne, en Espagne, au Portugal, au Brésil évidemment, mais aussi en France. « En matière de malwares bancaires, nous assistons aujourd’hui à une nouvelle tendance qui change la donne : des acteurs régionaux attaquent désormais activement les utilisateurs non seulement dans leur région mais aussi dans le monde entier. Grâce aux nouvelles techniques employées, les familles de malwares brésiliens ont commencé à proliférer dans d’autres continents, et Bizarro, qui cible les utilisateurs européens, en est un parfait exemple », explique Fabio Assolini, expert en cybersécurité chez Kaspersky.

Kaspersky nous explique qu'à l'instar des malwares de Tétrade (qui regroupe quatre familles de trojans, Guildma, Javali, Melcoz et Grandoreiro), Bizarro se base sur des affiliés et recrute des mules financières. Ces dernières vont alors contribuer aux cyberattaques en transférant des fonds, ou en assurant juste des traductions.

Bizarro dérange d'autant plus par sa capacité à masquer ses traces. Le malware complique en effet la détection et l'analyse des malwares. Et il use de techniques habiles d'ingénierie sociale pour convaincre ses cibles et potentielles victimes de révéler les données bancaires.

Lire aussi :
L'Irlande ne paiera pas la rançon liée au piratage informatique de son système de santé national

Un malware qui use de l'ingénierie sociale pour ensuite lancer des captures d'écran

Pour se propager, Bizarro s'insère dans le pack d'installation Microsoft Installer, téléchargé par les victimes en cliquant sur des liens que l'on retrouve dans des courriers électroniques frauduleux. Bizarro télécharge alors une archive ZIP depuis un site web évidemment mis en place par les hackers, pour ensuite activer toutes ses fonctions malveillantes.

L'étape suivante consiste, pour Bizarro, à envoyer les données au serveur de télémétrie, hébergé sur Azure ou AWS (des serveurs WordPress ont aussi servi de plateformes d'hébergement). Puis le cheval de Troie lance le module de capture d'écran. Selon Kaspersky, Bizarro utilise une porte dérobée qui contient plus de 100 commandes. La majorité de ces dernières sert à afficher de faux pop-up sur l'écran des utilisateurs, leur faisant croire que des mises à jour de sécurité sont en train d'être installées. Le tout en imitant les messages des banques en ligne.

Un exemple de Bizarro bloquant la page d’identification d’une banque en ligne et faisant croire à l’utilisateur que des mises à jour de sécurité sont en cours d’installation (© Kaspersky)
Un exemple de Bizarro bloquant la page d’identification d’une banque en ligne et faisant croire à l’utilisateur que des mises à jour de sécurité sont en cours d’installation (© Kaspersky)

Source : Kaspersky