El equipo de investigación de Kaspersky ha descubierto un nuevo malware bancario procedente de Brasil, denominado Bizarro, dirigido a 70 bancos diferentes de distintos paÃses europeos y sudamericanos. Entre los paÃses latinoamericanos más afectados se encuentran Argentina, Brasil y Chile.
Durante el año pasado, los investigadores de Kaspersky detectaron varios troyanos bancarios que procedÃan de Sudamérica (Guildma, Javali, Melcoz y Grandoreiro) y que expandÃan sus operaciones por todo el mundo. Conocidas en su conjunto como “The Tétrade”, estas familias empleaban una variedad de novedosas, innovadoras y sofisticadas técnicas. En 2021 esta tendencia se mantiene, puesto que un nuevo actor de amenazas, Bizarro, con origen en el paÃs carioca, se está expandiendo por todo el globo.
Distribución de la detección de Bizarro en los últimos 12 meses
Bizarro es una nueva familia de troyanos bancarios originaria de Brasil que ya se ha extendido hasta otros paÃses como Argentina, Chile, Alemania, España, Francia, Italia y Portugal. Como Tétrade, Bizarro utiliza a afiliados o contrata intermediarios para hacer operativos sus ataques, realizando el cobro o simplemente ayudando en las traducciones. A su vez, los ciberdelincuentes que están tras esta familia de malware están empleando distintas técnicas para complicar el análisis y la detección del malware, asà como trucos de ingenierÃa social que contribuyen a convencer a las vÃctimas para que faciliten sus credenciales bancarias.
Bizarro se distribuye a través de paquetes MSI (Microsoft Installer), que son descargados por las vÃctimas desde enlaces en correos electrónicos spam. Una vez ejecutado, Bizarro descarga un archivo ZIP de un sitio web comprometido para implementar sus funciones maliciosas adicionales. Una vez enviados los datos al servidor de telemetrÃa, Bizarro inicia el módulo de captura de pantalla. Hasta el momento, los investigadores de Kaspersky han observado que Bizarro utiliza servidores alojados en Azure, Amazon y servidores WordPress comprometidos para almacenar el malware y recoger la telemetrÃa.
Los investigadores de Kaspersky subrayan que el componente principal de Bizarro es la puerta trasera (backdoor), que contiene más de 100 comandos y la mayorÃa de ellos se utilizan para mostrar falsos mensajes emergentes a los usuarios. Algunos de ellos incluso intentan imitar los sistemas de banca en lÃnea.
Ejemplo de bloqueo de página de inicio de sesión que informa al cliente que se están instalando actualizaciones de seguridad
“Los ciberdelincuentes están constantemente buscando nuevas formas de distribuir malware que robe las credenciales de los sistemas de pago electrónico y banca en lÃnea. Actualmente somos testigos de una tendencia que está cambiando las reglas del juego en la propagación de malware bancario: la globalización de los ataques. Los actores regionales no solo atacan activamente a los usuarios de su región de origen, sino de todo el mundo. Mediante la aplicación de nuevas técnicas, las familias de malware brasileñas han comenzado a extenderse a otros continentes, y Bizarro, dirigido principalmente a los usuarios europeos, es el ejemplo claro de ello. Esto deberÃa servir como señal para poner mayor énfasis en el análisis de los delincuentes regionales y en la inteligencia de las amenazas locales, ya que muy pronto podrÃa convertirse en un problema de alcance mundial”, apunta Fabio Assolini, analista senior de seguridad en Kaspersky.
Para proteger a las instituciones financieras de troyanos bancarios como Bizarro y otros, los expertos de Kaspersky recomiendan:
Permita que el equipo de seguridad o su SOC (Security Operational Center) acceda a los informes de Inteligencia de Amenazas con información sobre las últimas herramientas y técnicas utilizadas por los ciberdelincuentes. Los suscriptores del Portal de Inteligencia de Amenazas de Kaspersky tienen acceso a los Ãndices de compromiso (IoC), las reglas de Yara y los hashes (todas las formas de identificación) de esta y otras amenazas.
Capacite al personal para que pueda abordar las amenazas dirigidas. Kaspersky ofrece capacitación en lÃnea desarrollada por especialistas de GReAT.
Eduque a sus clientes sobre los posibles peligros y estafas empleados por los ciberdelincuentes. EnvÃeles información periódica sobre cómo identificar el fraude y cómo actuar ante cada situación.
Anime a sus clientes a que implementen una solución de seguridad de calidad, como Kaspersky Security Cloud, para bloquear los intentos de infección de Bizarro u otro tipo de malware sofisticado.
Obtenga más información sobre las caracterÃsticas técnicas de Bizarro en Securelist.com.