❤️ Adquiere tu membresía:  Contenidos protegidos, manuales y videos >> Ver Más

Este malware está atacando diferentes bancos en Europa y Sudamérica

Un troyano bancario llamado Bizarro de origen brasileño cruzó las fronteras y comenzó a atacar a clientes de 70 bancos en Europa y Sudamérica.

Una vez que llega a un sistema Windows, el malware puede obligar a los usuarios a ingresar credenciales bancarias. Además, utiliza la ingeniería social para robar códigos de autenticación de dos factores.

Expansión

Bizarro está en constante desarrollo ya que su autor sigue ampliando la lista de bancos soportados y la modifican para mejorar las protecciones anti-análisis.

Las estadísticas de la empresa de ciberseguridad Kaspersky muestran que los objetivos de Bizarro ahora son clientes de bancos en Europa. El malware está atacando en Alemania, España, Portugal, Francia, Italia y Sudamérica (Chile, Argentina, Brasil).

Países afectados

El malware se propaga a través de correos electrónicos de phishing. Estos mensajes generalmente se disfrazan como mensajes oficiales relacionados con los impuestos que informan sobre las obligaciones pendientes.

El enlace de descarga en el mensaje descarga Bizarro como un paquete MSI. Después de ser ejecutado, el malware descarga de los servidores hackeados de WordPress, Amazon y Azure un archivo ZIP con componentes maliciosos necesarios para el ataque.

Ejemplo de correo de phishing

Funcionalidad extraña

Una vez que se inicia, Bizarro termina todas las sesiones existentes con los servicios bancarios en línea al eliminar todos los procesos del navegador. Esto obliga al usuario a volver a ingresar las credenciales de la cuenta bancaria, lo que permite que el malware las recopile.

El malware también puede desactivar la función de autocompletar en un navegador web. Esto le permite capturar las credenciales de inicio de sesión cuando la víctima las escribe manualmente.

Los investigadores de Kaspersky señalan que el componente principal de Bizarro es su funcionalidad de puerta trasera. La funcionalidad admite más de 100 comandos, la mayoría de ellos son “utilizados para mostrar mensajes emergentes falsos a los usuarios”.

El componente se activa solo después de que el malware enumera todas las ventanas para verificar la conexión a uno de los sitios bancarios compatibles.

Bizarro puede recibir los siguientes tipos de comandos desde su servidor de comando y control:

  • buscar datos sobre la víctima y administrar el estado de la conexión
  • permitir el control de los archivos en el disco duro
  • Permitir el control del mouse y el teclado.
  • apagar, reiniciar o destruir el sistema operativo y limitar la funcionalidad de Windows
  • registrar pulsaciones de teclas (keylogger)
  • comandos que permiten ataques de ingeniería social

El componente de ingeniería social

Mediante el uso de comandos específicos para el componente de puerta trasera, los operadores de Bizarro pueden engañar a los usuarios. Los atacantes engañan a los usuarios para que proporcionen la información de inicio de sesión de la cuenta bancaria. Ellos les muestran cuadros de mensaje o ventanas solicitando datos de inicio de sesión o códigos de autenticación de dos factores.

Los operadores de Bizarro engañan a los usuarios para que proporcionen información confidencial mostrándoles ventanas o cuadros de mensajes personalizados.

Los mensajes varían desde notificaciones falsas que solicitan los detalles nuevamente o que solicitan ingresar un código de confirmación hasta un error falso. Este supuesto error informa que el sistema necesita reiniciarse para completar una operación relacionada con la seguridad.

Notificaciones de seguridad falsas

Otro truco de ingeniería social de Bizarro es mostrar imágenes JPEG que contienen el logotipo de un banco objetivo e instrucciones para la víctima.

Algunos de estos mensajes bloquean el acceso a toda la pantalla y ocultan la barra de tareas. Tener bloqueada la barra de tareas dificulta iniciar del Administrador de tareas.

La mayoría de las imágenes intentan convencer a la víctima de que su sistema está comprometido o necesita una actualización. También les convencen que es necesario instalar componentes de seguridad y de rendimiento para el navegador.

Ejemplos de notificaciones maliciosas

Aplicación falsa

El componente de ingeniería social se expande para engañar a las víctimas para que instalen en sus teléfonos una aplicación bancaria fraudulenta. La aplicación permite la recopilación de credenciales y códigos confidenciales desde dispositivos móviles.

Según los comandos admitidos por el troyano, un escenario de ataque en una computadora comprometida comienza cuando la víctima accede a un sitio web bancario.

La función de registro de teclas en el malware captura la contraseña de la cuenta. Posteriormente muestran mensajes falsos para recopilar el código de autenticación de dos factores.

Los ciberdelincuentes pueden ganar algo de tiempo para preparar una transacción fraudulenta mostrando una alerta falsa del banco que bloquea el acceso a la pantalla.

Funcionamiento del malware

Kaspersky dice que Bizarro no es el único troyano bancario en América del Sur que se expandió a Europa. Otros malware han seguido el mismo camino recientemente, por ejemplo, Guildma (también conocido como Astaroth), Amalvado, Javali, Melcoz y Grandoreiro. Todos ellos fueron creados, desarrollados y difundidos en Brasil y se expandieron fuera de América Latina.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información