• atapia73

Bizarro banking malware apunta a 70 bancos en Europa y Sudamérica

Actualizado: jun 3


Un troyano bancario llamado Bizarro originario de Brasil ha cruzado las fronteras y ha comenzado a dirigirse a clientes de 70 bancos en Europa y Sudamérica.


Una vez aterrizado en un sistema Windows, el malware puede obligar a los usuarios a introducir credenciales bancarias y utiliza ingeniería social para robar códigos de autenticación de dos factores.


La expansión

Bizarro está en constante desarrollo, ya que su autor sigue ampliando la lista de bancos de apoyo y la modifican para mejorar las protecciones antianálisis.


Las estadísticas de la empresa de ciberseguridad Kaspersky muestran que los objetivos de Bizarro son ahora clientes de bancos en Europa (Alemania, España, Portugal, Francia, Italia) y Sudamérica (Chile, Argentina, Brasil).


El malware se propaga a través de correos electrónicos de phishing que normalmente se disfrazan de mensajes oficiales relacionados con los impuestos que informan de las obligaciones pendientes.

El vínculo de descarga del mensaje recupera Bizarro como un paquete MSI. Después de ser lanzado, el malware descarga de servidores hackeados de WordPress, Amazon y Azure un archivo ZIP con componentes maliciosos necesarios para el ataque.


Funcionalidad de Bizarro

Una vez que comience, Bizarro finalizará cualquier sesión existente con los servicios de banca en línea matando todos los procesos del navegador. Esto obliga al usuario a volver a introducir las credenciales de la cuenta bancaria, lo que permite que el malware las recoja.


El malware también puede deshabilitar la función de autocompletar en un navegador web para capturar credenciales de inicio de sesión cuando la víctima las escribe manualmente.


Los investigadores de Kaspersky señalan que el componente principal de Bizarro es su funcionalidad de puerta trasera, que soporta más de 100 comandos, la mayoría de ellos "utilizados para mostrar mensajes emergentes falsos a los usuarios".



El componente se activa solo después de que el malware enumera todas las ventanas para comprobar si hay una conexión a uno de los sitios bancarios compatibles.

Bizarro puede recibir los siguientes tipos de comandos de su servidor de comando y control:

  • obtener datos sobre la víctima y administrar el estado de la conexión

  • permitir el control de los archivos en el disco duro

  • permitir el control del ratón y el teclado

  • apagar, reiniciar o destruir el sistema operativo y limitar la funcionalidad de Windows

  • pulsaciones de teclas de registro

  • comandos que permiten ataques de ingeniería social

El componente de ingeniería social

Utilizando comandos específicos para el componente de puerta trasera, los operadores de Bizarro pueden engañar a los usuarios para que proporcionen la información de inicio de sesión de la cuenta bancaria mostrándoles cuadros de mensaje o ventanas que soliciten datos de inicio de sesión o códigos de autenticación de dos factores.


Utilizando comandos específicos para el componente de puerta trasera, los operadores de Bizarro pueden engañar a los usuarios para que proporcionen información confidencial mostrándoles cuadros de mensaje personalizados o ventanas.


Los mensajes varían desde notificaciones falsas que solicitan los detalles de nuevo o piden introducir un código de confirmación a un error falso que informa que el sistema necesita un reinicio para completar una operación relacionada con la seguridad.


Otro truco de ingeniería social con el sombrero de Bizarro es mostrar imágenes JPEG que contienen el logotipo de un banco objetivo e instrucciones para la víctima.


Algunos de estos mensajes pueden bloquear el acceso a toda la pantalla y ocultar la barra de tareas, lo que dificulta el inicio del Administrador de tareas.


La mayoría de las imágenes tratan de convencer a la víctima de que su sistema está comprometido o necesita una actualización, o que es necesario instalar componentes de seguridad y rendimiento para el navegador.


El componente de ingeniería social se expande para engañar a las víctimas para que instalen en sus teléfonos una aplicación bancaria fraudulenta, que permite la recopilación de credenciales y códigos sensibles de dispositivos móviles.


Basado en los comandos apoyados por el troyano, un escenario de ataque en un ordenador comprometido comienza con la víctima accediendo a un sitio web bancario.


La función keylogging en el malware captura la contraseña de la cuenta y luego se muestran mensajes falsos para recoger el código de autenticación de dos factores.


Los ciberdelincuentes pueden ganar tiempo para preparar una transacción fraudulenta mostrando una alerta falsa del banco que bloquea el acceso a la pantalla.


Kaspersky dice que Bizarro no es el único troyano bancario en América del Sur que se expande a Europa. Otro malware ha seguido el mismo camino recientemente, a saber, Guildma (también conocido como Astaroth),Amalvado,Javali,Melcozy Grandoreiro. Todos ellos fueron creados, desarrollados y difundidos en Brasil y se han expandido fuera de América Latina.


Aquí te damos unas recomendaciones para prevenir un ataque: https://384ac37a-e8a5-4196-ada0-b467287d258e.usrfiles.com/ugd/384ac3_2f50dc6767a045f49d7ee17b254ad39c.pdf




FUENTE: bleepingcomputer.com

71 vistas0 comentarios