El troyano bancario Bizarro entra en Europa

Un troyano bancario llamado Bizarro de Brasil cruzó la frontera y comenzó a apuntar a clientes de 70 bancos en Europa y América del Sur.

Una vez que haya iniciado sesión en el sistema Windows, el malware puede obligar a los usuarios a ingresar credenciales bancarias y utilizar la ingeniería social para robar códigos de autenticación de dos factores.

expansión

Bizarro está en constante evolución a medida que sus autores continúan expandiendo la lista de bancos de apoyo y modificándolos para mejorar la protección anti-análisis.

Las estadísticas de la empresa de ciberseguridad Kaspersky muestran que los clientes objetivo de Bizarro ahora son clientes bancarios en Europa (Alemania, España, Portugal, Francia, Italia) y Sudamérica (Chile, Argentina, Brasil).

Incidencia de los caballos de Troya pervertidos

El malware se propaga a través de correos electrónicos de phishing, que generalmente se disfrazan como mensajes oficiales relacionados con los impuestos para informar sobre las obligaciones incumplidas.

El enlace de descarga en el mensaje recupera Bizarro como un paquete MSI. Después del lanzamiento, el malware descarga un archivo ZIP de los servidores comprometidos de WordPress, Amazon y Azure, que contiene los componentes maliciosos necesarios para el ataque.

Los correos electrónicos de phishing distribuyen el malware Bizarro

Características de Bizarro

Después del lanzamiento, Bizarro terminará todas las sesiones existentes con los servicios de banca en línea al finalizar todos los procesos del navegador. Esto obliga a los usuarios a volver a ingresar las credenciales de la cuenta bancaria, lo que permite que el malware las recopile.

Cuando la víctima ingresa manualmente las credenciales de inicio de sesión, el malware también puede desactivar la función de autocompletar en el navegador web para capturar las credenciales de inicio de sesión.

READ  La decisión de la máscara que perseguirá la oferta de reelección de Trump

Investigador de Kaspersky notas El componente principal de Bizarro es su función de puerta trasera, que admite más de 100 comandos, la mayoría de los cuales “se utilizan para mostrar mensajes emergentes falsos a los usuarios”.

Este componente solo está activo después de que el malware enumera todas las ventanas para verificar la conexión a uno de los sitios bancarios compatibles.

Bizarro puede recibir los siguientes tipos de comandos desde su servidor de comando y control:

  • Obtener datos sobre la víctima y gestionar el estado de la conexión.
  • Permite el control de archivos en el disco duro.
  • Permite el control del mouse y el teclado.
  • Apague, reinicie o destruya el sistema operativo y restrinja la funcionalidad de Windows
  • Registrar pulsaciones de teclas
  • Comando para habilitar ataques de ingeniería social

Componentes de la ingeniería social

Mediante el uso de comandos específicos para los componentes de la puerta trasera, los operadores de Bizarro pueden engañar a los usuarios para que proporcionen información de inicio de sesión de la cuenta bancaria mostrando un cuadro de mensaje o una ventana al usuario que solicita datos de inicio de sesión o código de verificación de identidad dual.

Mediante el uso de comandos específicos del componente de puerta trasera, los operadores de Bizarro pueden engañar a los usuarios para que proporcionen información confidencial mostrando cuadros de mensajes personalizados o ventanas a los usuarios.

Estos mensajes son diferentes, desde notificaciones falsificadas para solicitar información detallada nuevamente o para ingresar un código de confirmación hasta errores falsificados, informando que el sistema debe reiniciarse para completar las operaciones relacionadas con la seguridad.

Correo falso bizarro

READ  Las mujeres de 45 a 54 años son las que más compran en España

Otro truco de ingeniería social en el sombrero de Bizarro es mostrar una imagen JPEG que contiene el logotipo del banco objetivo y las instrucciones de la víctima.

Algunos de estos mensajes pueden impedir el acceso a toda la pantalla y ocultar la barra de tareas, lo que dificulta el inicio del administrador de tareas.

La mayoría de las imágenes intentan convencer a las víctimas de que sus sistemas se han visto comprometidos o deben actualizarse, o que los componentes de seguridad y rendimiento del navegador deben estar instalados.

Noticias falsas de Bizarro Trojan

El componente de ingeniería social se ha ampliado para engañar a las víctimas para que instalen aplicaciones bancarias fraudulentas en sus teléfonos, lo que les permite recopilar credenciales y códigos confidenciales de sus dispositivos móviles.

Según los comandos admitidos por el programa caballo de Troya, el ataque a la computadora infectada comenzó cuando la víctima visitó el sitio web del banco.

La función de registro de claves del malware captura la contraseña de la cuenta y luego muestra un mensaje falsificado para recopilar el código de autenticación de dos factores.

Los ciberdelincuentes pueden bloquear el acceso a la pantalla mostrando falsas alertas del banco, por lo que pasan algún tiempo preparándose para transacciones fraudulentas.

Situación extraña del ataque del caballo de Troya

Kaspersky dijo que Pizzaro no es el único troyano bancario que se ha expandido a Europa en América del Sur.Otro malware ha seguido recientemente el mismo camino, a saber gremio (Aka Astalos), Amalvado, Jabali, Merkoz, con Grandoreiro. Todos fueron creados, desarrollados y difundidos en Brasil, y se han expandido a regiones fuera de América Latina.