El malware bancario Bizarro se dirige a 70 bancos en Europa y Sudamérica

Angélica Bracamontemayo 22, 2021

0 43 3 minutos de lectura

Un troyano bancario llamado Bizarro, originario de Brasil, cruzó fronteras y comenzó a apuntar a clientes de 70 bancos en Europa y América del Sur.

Una vez instalado en un sistema Windows, el malware puede obligar a los usuarios a ingresar credenciales bancarias y utilizar la ingeniería social para robar códigos de autenticación de dos factores.

Expansión

Bizarro está en constante desarrollo, ya que su autor sigue ampliando la lista de bancos de apoyo y la modifican para mejorar las protecciones anti-análisis.

Las estadísticas de la empresa de ciberseguridad Kaspersky muestran que los objetivos de Bizarro ahora son clientes bancarios en Europa (Alemania, España, Portugal, Francia, Italia) y Sudamérica (Chile, Argentina, Brasil).

El malware se propaga a través de correos electrónicos de phishing que generalmente se disfrazan como mensajes oficiales relacionados con los impuestos que le informan sobre las obligaciones pendientes.

El enlace de descarga en el mensaje recupera Bizarro como un paquete MSI. Después de ser lanzado, el malware descarga de los servidores pirateados de WordPress, Amazon y Azure un archivo ZIP con componentes maliciosos necesarios para el ataque.

Funcionalidad extraña

Después de comenzar, Bizarro finalizará todas las sesiones existentes con servicios de banca en línea eliminando todos los procesos del navegador. Esto obliga al usuario a volver a ingresar las credenciales de la cuenta bancaria, lo que permite que el malware las recopile.

El malware también puede desactivar la función de autocompletar en un navegador web para capturar las credenciales de inicio de sesión cuando la víctima las escribe manualmente.

Investigadores de Kaspersky Nota que el componente principal de Bizarro es su funcionalidad de puerta trasera, que admite más de 100 comandos, la mayoría de ellos «utilizados para mostrar mensajes emergentes falsos a los usuarios».

READ El diseñador Malene, Palomo España, Embajador de Turismo de la Provincia - Noticias de la Provincia

El componente se activa solo después de que el malware enumera todas las ventanas para verificar una conexión a uno de los sitios bancarios admitidos.

Bizarro puede recibir los siguientes tipos de comandos desde su servidor de comando y control:

buscar datos sobre la víctima y administrar el estado de la conexión
permitir el control de archivos en el disco duro
permite el control del mouse y el teclado
apagar, reiniciar o destruir el sistema operativo y limitar la funcionalidad de Windows
registrar las pulsaciones de teclas
comandos que permiten ataques de ingeniería social

El componente de ingeniería social

Mediante el uso de comandos específicos para el componente de puerta trasera, los operadores de Bizarro pueden engañar a los usuarios para que proporcionen información de inicio de sesión de la cuenta bancaria mostrándoles cuadros de mensaje o ventanas solicitando datos de inicio de sesión o códigos de autenticación de dos factores.

Utilizando comandos específicos para el componente de puerta trasera, los operadores de Bizarro pueden engañar a los usuarios para que proporcionen información confidencial mostrándoles ventanas o cuadros de mensajes personalizados.

Los mensajes van desde notificaciones falsas que solicitan detalles nuevamente o que solicitan ingresar un código de confirmación hasta un error falso que indica que el sistema debe reiniciarse para completar una operación relacionada con la seguridad.

Otro truco de ingeniería social en el sombrero de Bizarro es mostrar imágenes JPEG que contienen el logotipo de un banco objetivo e instrucciones para la víctima.

Algunos de estos mensajes pueden bloquear el acceso a toda la pantalla y ocultar la barra de tareas, lo que dificulta el inicio del Administrador de tareas.

READ Los solicitantes de asilo esperan 'milagro' en México en la próxima ronda de solicitudes de inmigración | Radio WGN 720

La mayoría de las imágenes intentan convencer a la víctima de que su sistema está comprometido o necesita una actualización, o que los componentes de seguridad y rendimiento del navegador deben estar instalados.

El componente de ingeniería social se expande para inducir a las víctimas a instalar una aplicación bancaria fraudulenta en sus teléfonos, que permite la recopilación de credenciales y códigos confidenciales desde dispositivos móviles.

Según los comandos admitidos por el troyano, un escenario de ataque en una computadora comprometida comienza cuando la víctima accede a un sitio web bancario.

La función de registro de teclas del malware captura la contraseña de la cuenta y luego se muestran mensajes falsos para recopilar el código de autenticación de dos factores.

Los ciberdelincuentes pueden ganar algo de tiempo para preparar una transacción fraudulenta mostrando una alerta bancaria falsa que bloquea el acceso a la pantalla.

Kaspersky dice que Bizarro no es el único caballo de Troya bancario en América del Sur que se expande a Europa. Otro malware ha seguido el mismo camino recientemente, es decir, Guildma (También conocido como Astaroth), Amalvado, Jabali, Melcoz, y Grandoreiro. Todos ellos fueron creados, desarrollados y difundidos por Brasil y expandidos fuera de América Latina.