70 bancos europeos y sudamericanos atacados por Bizarro Banking Malware

Malware bancario Bizarro

Una banda de delincuentes cibernéticos con motivaciones financieras ha desatado un troyano bancario previamente indocumentado, que puede robar credenciales de clientes de 70 bancos ubicados en varios países europeos y sudamericanos.

Apodado «Bizarro» por los investigadores de Kaspersky, el malware de Windows está «usando afiliados o reclutando mulas de dinero para operacionalizar sus ataques, cobrar o simplemente ayudar [sic] con transferencias.”

La campaña consta de múltiples partes móviles, entre las que destaca la capacidad de engañar a los usuarios para que ingresen códigos de autenticación de dos factores en ventanas emergentes falsas que luego se envían a los atacantes, así como su dependencia de señuelos de ingeniería social para convencer a los visitantes. de sitios web bancarios en la descarga de una aplicación de teléfono inteligente malicioso.

Bizarro, que utiliza servidores comprometidos de WordPress, Amazon y Azure para alojar el malware, se distribuye a través de paquetes MSI descargados por las víctimas desde enlaces incompletos en correos electrónicos no deseados. Al iniciar el paquete, se descarga un archivo ZIP que contiene una DLL escrita en Delphi, que cambia inyecta el implante fuertemente ofuscado. Además, el módulo principal de la puerta trasera está configurado para permanecer inactivo hasta que detecte una conexión a uno de los sistemas bancarios en línea codificados.

Malware bancario Bizarro

«Cuando se inicia Bizarro, primero elimina todos los procesos del navegador para finalizar cualquier sesión existente con sitios web de banca en línea», dijeron los investigadores. «Cuando un usuario reinicia los navegadores, se verá obligado a volver a ingresar las credenciales de la cuenta bancaria, que serán capturadas por el malware. Otro paso que toma Bizarro para obtener la mayor cantidad de credenciales posible es deshabilitar el autocompletado en un navegador. «

Si bien la función principal del troyano es capturar y filtrar las credenciales bancarias, la puerta trasera está diseñada para ejecutar 100 comandos desde un servidor remoto que le permite recopilar todo tipo de información de las máquinas con Windows, controlar el mouse y el teclado de la víctima, registrar las pulsaciones de teclas y capturar capturas de pantalla. e incluso limitar la funcionalidad de Windows.

Malware bancario Bizarro

Bizarro es solo el último ejemplo de cómo los troyanos bancarios brasileños están afectando cada vez más a los dispositivos Windows y Android, uniéndose a programas maliciosos como Guildma, Javali, Melcoz, Grandoreiro (colectivamente llamados Tetrade), Amavaldo, Ghimob y BRATA, mientras se expanden simultáneamente su huella victimológica en América del Sur y Europa.

«Los investigadores dijeron que esta campaña está adoptando varios métodos técnicos para complicar el análisis y la detección de malware, así como trucos de ingeniería social que pueden ayudar a convencer a las víctimas de que proporcionen datos personales relacionados con sus cuentas bancarias en línea», dijeron los investigadores.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática