bizarro - RunkIntel

# Bizarro > Tipo: **banking trojan** · Expansao Global Brasileira · [Kaspersky Securelist](https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/) > [!danger] O Trojan Brasileiro Que Foi Global com 70 Bancos e 100+ Comandos > O Bizarro e a prova mais contundente da expansao global do cibercrime bancario brasileiro: nasceu no Brasil, expandiu-se para Argentina e Chile, e em 2021 estava atacando bancos na Alemanha, Espanha, Portugal, Franca e Italia. Com mais de 100 comandos de backdoor, JPEG de logos bancarios como isca de engenharia social, e monitoriamento de clipboard Bitcoin, o Bizarro combina sofisticacao técnica com alcance genuinamente internacional. ## Visão Geral [[bizarro|Bizarro]] e um banking trojan de origem **brasileira**, escrito em **Delphi**, identificado pela Kaspersky em 2021 como parte da segunda onda de expansao global de trojans bancarios sul-americanos - seguindo os passos do [[s0531-grandoreiro|Grandoreiro]], [[guildma|Guildma]], [[mekotio|Mekotio]] e [[s0669-ousaban|Ousaban]] (Javali). Bizarro representa a evolução do modelo: enquanto os trojans LATAM anteriores tinham foco regional, o Bizarro adotou desde cedo a estratégia de expansao com **afiliados e mulas de dinheiro** para operacionalizar ataques em outros continentes. O grupo recruta colaboradores locais para traducoes, transferencias e cashout - modelo de servico criminal sofisticado. **Diferencial critico - o backdoor com 100+ comandos:** O backdoor e o componente central do Bizarro e contem mais de 100 comandos distintos. A maioria exibe mensagens pop-up falsas personalizadas para cada banco alvo. A mais sofisticada usa **imagens JPEG do logo do banco alvo** (baixadas do C2) para criar jánelas de engenharia social extremamente convincentes. **Caracteristicas técnicas distintas:** - Backdoor com 100+ comandos - inclui categorias de data, mouse/teclado, sistema e engenharia social - Download de **JPEG com logo do banco** para pop-ups customizados por instituicao - Monitoramento de clipboard Bitcoin - qualquer carteira BTC detectada e substituida - Kill de todos os browsers ao iniciar - forca re-autenticação bancaria - Desativacao de autocomplete no browser - forca digitacao manual para captura - Códigos de banco em **leetspeak** (ex: `br4d3sc0`) para identificação interna - Infraestrutura em Azure, Amazon e **WordPress comprometido** - Módulos x64 - suporte a arquiteturas de 64 bits **Relevância Brasil e Europa:** Vitimas confirmadas no Brasil, Argentina, Chile, Alemanha, Espanha, Portugal, Franca e Italia. O Bizarro e o exemplo mais claro da internacionalizacao do cibercrime financeiro brasileiro pre-2022. Setor financeiro, alem de alvos de criptomoeda. ## Como Funciona ### Distribuição e Inicializacao 1. Email de phishing com link para download de MSI (tipicamente tema fiscal) 2. MSI tem dois links embutidos - escolhido conforme arquitetura do processador (32/64-bit) 3. MSI baixa ZIP de servidor WordPress comprometido, Amazon ou Azure 4. ZIP contem: DLL maliciosa Delphi + executavel AutoHotkey legitimo + script .ahk 5. Script AutoHotkey chama função exportada da DLL maliciosa 6. Bizarro inicializa e **mata todos os processos de browser** imediatamente 7. Módulo de captura de tela inicializa via `magnification.dll` e `MagSetImageScalingCallback` ### Kill de Browser e Captura de Credenciais O Bizarro adota uma abordagem agressiva de captura: - **Kill de browsers**: encerra Edge, Chrome, Firefox e outros ao iniciar - Vitima e forcada a reabrir o browser e re-autenticar no banco - credenciais capturadas - **Desativacao de autocomplete**: impede que o browser preencha credenciais automaticamente, forcando digitacao - **Monitoramento continuo de jánelas**: busca titulos de jánelas bancarias para ativar backdoor ### Backdoor com Mais de 100 Comandos O backdoor so ativa quando detecta conexão a um dos sistemas bancarios hardcoded. Identifica o banco por correspondencia de nome de jánela (letras com acento e espacos sao removidos para normalizacao). Os códigos internos usam leetspeak do nome do banco. Categorias de comandos: - **Status e dados da vitima**: versao Bizarro, SO, nome do computador, antivirus instalado, banco acessado - **Controle de arquivos**: listar, copiar, mover, deletar arquivos - **Controle de mouse e teclado**: simular cliques, teclas, gestos - **Controle de sistema**: desligar, reiniciar, destruir SO, limitar funcionalidades do Windows - **Keylogging**: registrar todas as teclas digitadas - **Engenharia social**: exibir pop-ups, mensagens de erro, jánelas de atualização de segurança - **JPEG bancario**: baixar logo do banco do C2 e exibir em pop-up convincente ### Engenharia Social com JPEG O diferencial mais sofisticado: o Bizarro baixa do C2 uma imagem JPEG com o logo real do banco alvo e instrucoes para a vitima. Estas mensagens podem bloquear a tela inteira e esconder a barra de tarefas, impossibilitando o acesso ao Gerenciador de Tarefas. Mensagens tipicas: "Seu sistema esta comprometido", "Atualização de segurança necessária", "Componentes do browser sendo instalados". Adicionalmente, o Bizarro pode convencer vitimas a instalar um **aplicativo fraudulento de banco no celular** para capturar credenciais moveis. ## Attack Flow ```mermaid graph TB A["Phishing com MSI Link em email de spam Tema fiscal ou tributario"] --> B["Download ZIP WordPress, Azure ou Amazon comprometidos"] B --> C["AutoHotkey + DLL Script .ahk chama DLL Bizarro inicializa"] C --> D["Kill de Browsers Todos os browsers fechados Autocomplete desabilitado"] D --> E["Monitoramento de Jánelas Aguarda titulo de banco Banco em leetspeak identificado"] E --> F["Backdoor Ativa 100+ comandos disponíveis C2 em comúnicação"] F --> G["JPEG do Banco Baixado Logo real do banco Pop-up convincente exibido"] G --> H["Credenciais Capturadas Login + 2FA + dados bancarios Clipboard BTC monitorado"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef infra fill:#e67e22,stroke:#d35400,color:#fff classDef loader fill:#f39c12,stroke:#d68910,color:#fff classDef kill fill:#c0392b,stroke:#922b21,color:#fff classDef monitor fill:#27ae60,stroke:#229954,color:#fff classDef backdoor fill:#8e44ad,stroke:#7d3c98,color:#fff classDef exfil fill:#2c3e50,stroke:#1a252f,color:#fff class A phishing class B infra class C loader class D kill class E,F monitor class G backdoor class H exfil ``` ## Linha do Tempo ```mermaid timeline title Expansao Global do Bizarro 2020 : Primeiras amostras detectadas no Brasil : Desenvolvimento inicial do backdoor 2021 : Expansao para Argentina e Chile : Kaspersky detecta amostras em Portugal e Espanha 2021 Mai : Kaspersky publica análise completa : 70 bancos em Europa e America do Sul confirmados : Franca, Italia, Alemanha como novos alvos 2021 Jun : Afiliados europeus confirmados : Mulas de dinheiro recrutadas localmente 2022 : Expansao continua : Módulos x64 documentados : Monitoramento de criptomoeda incluido ``` | Período | Evento | |---------|--------| | 2020 | Primeiras amostras Bizarro detectadas no Brasil | | Mai/2021 | Kaspersky pública "Bizarro banking Trojan expands its attacks to Europe" | | Mai/2021 | 70 bancos confirmados; Brasil, Argentina, Chile, Alemanha, Espanha, Portugal, Franca, Italia | | 2021 | Afiliados locais recrutados para operações europeias (traducao, cashout) | | 2022 | Módulos x64 e suporte a criptomoeda documentados por ThreatPost | ## TTPs Mapeados | Tática | Técnica | Uso pelo Bizarro | |--------|---------|-----------------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Email com link para MSI (tema fiscal) | | Execution | [[t1204-002-user-execution-malicious-file\|T1204.002]] | Vitima executa MSI distribuido por email | | Defense Evasion | [[t1574-002-dll-side-loading\|T1574.002]] | AutoHotkey runner executa DLL Bizarro via side-loading | | Defense Evasion | [[t1027-002-software-packing\|T1027.002]] | Payload protegido e obfuscado | | Defense Evasion | [[t1140-deobfuscate-decode-files\|T1140]] | JPEG com logo bancario armazenado cifrado com XOR multi-byte | | Discovery | [[t1010-application-window-discovery\|T1010]] | Monitoramento de jánelas com normalizacao de strings para identificar bancos | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de nome de computador, SO, browser padrao, antivirus | | Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Lista de softwares antivirus instalados enviada ao C2 | | Collection | [[t1113-screen-capture\|T1113]] | Captura de tela via magnification.dll e MagSetImageScalingCallback | | Collection | [[t1056-001-keylogging\|T1056.001]] | Keylogging de credenciais bancarias e códigos 2FA | | Impact | [[t1531-account-access-removal\|T1531]] | Kill de browsers e desabilitacao de autocomplete | | Impact | [[t1657-financial-theft\|T1657]] | Substituicao de carteiras Bitcoin no clipboard | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Credenciais e dados bancarios exfiltrados via C2 | ## Relevância LATAM/Brasil > [!danger] O Modelo Bizarro de Expansao Global > O Bizarro formalizou o modelo que define a segunda onda de trojans brasileiros globais: usar **afiliados e mulas de dinheiro locais** em cada pais alvo. Na Europa, o grupo recrutou colaboradores para traducoes dos pop-ups para linguas locais, operação de cashout e transferencias. Este modelo de servico criminal permite expansao rapida sem dependência de operadores centrais. > [!warning] Bitcoin Clipboard Hijacking - Expansao para Crypto > O Bizarro monitoramento do clipboard para substituicao de carteiras Bitcoin representa a expansao dos trojans bancarios brasileiros para o ecossistema cripto. Esta técnica - monitorar o clipboard e trocar qualquer endereco BTC detectado pelo do atacante - e eficaz porque usuarios frequentemente copiam e colam enderecos de carteira sem verificar digito a digito. **Setores impactados:** - [[financial|Financeiro]] - 70 bancos em América do Sul e Europa - Exchanges de criptomoeda - monitoramento e substituicao de carteiras Bitcoin ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **Browser Kill Pattern:** Processo Delphi que encerra browsers em sequencia (chrome.exe, firefox.exe, msedge.exe) logo após execução - indicativo forte de Bizarro > - **MagSetImageScalingCallback:** Monitorar uso da API depreciada `MagSetImageScalingCallback` de `magnification.dll` por processos nao-administrativos > - **Leetspeak Bank IDs:** Strings em leetspeak correspondentes a nomes de bancos (ex: `br4d3sc0`, `1t4u`) em memoria de processo suspeito > - **WordPress C2:** DLL Delphi acessando URLs de instancias WordPress seguido de download de ZIP - indicativo de infraestrutura comprometida > - **JPEG Bancario:** Download de JPEG de C2 seguido de API de wallpaper/display indica engenharia social com logo de banco **Controles recomendados:** - Bloquear execução de MSI de URLs externas via WDAC ou AppLocker - Monitorar substituicoes de clipboard por processos nao-browser (Bitcoin address hijacking) - Implementar [[m1038-execution-prevention|M1038]] - restricao de AutoHotkey de diretorios temporarios - [[m1017-user-training|M1017]] - conscientizacao sobre links em emails com tema fiscal ## Referências - [1](https://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/) Kaspersky Securelist - Bizarro banking Trojan expands its attacks to Europe (2021) - [2](https://www.kaspersky.com/about/press-releases/brazilian-malware-on-the-rise-kaspersky-discovers-new-local-banking-trojan-is-going-global) Kaspersky - Brazilian malware on the rise: Bizarro goes global (2021) - [3](https://thehackernews.com/2021/05/70-european-and-south-american-banks.html) The Hacker News - 70 Banks Under Attack By Bizarro Banking Malware (2021) - [4](https://www.bleepingcomputer.com/news/security/bizarro-banking-malware-targets-70-banks-in-europe-and-south-america/) BleepingComputer - Bizarro banking malware targets 70 banks in Europe and South América (2021) - [5](https://threatpost.com/bizarro-banking-trojan-backdoor/166211/) ThreatPost - Bizarro Banking Trojan Sports Sophisticated Backdoor (2021)