Ciberdelincuentes con motivaciones financieras ha desatado un troyano bancario previamente indocumentado, que puede robar credenciales de clientes de 70 bancos ubicados en varios países de Europa y América del Sur.
Apodado » Bizarro » por los investigadores de Kaspersky, el malware de Windows está «utilizando afiliados o reclutando mulas de dinero para poner en funcionamiento sus ataques, cobrar o simplemente ayudar [sic] con las transferencias».
La campaña consta de múltiples partes móviles, la principal de ellas es la capacidad de engañar a los usuarios para que ingresen códigos de autenticación de dos factores en ventanas emergentes falsas que luego se envían a los atacantes, así como su dependencia de los señuelos de ingeniería social para convencer a los visitantes. de sitios web bancarios para descargar una aplicación maliciosa para teléfonos inteligentes.
Bizarro, que utiliza servidores comprometidos de WordPress, Amazon y Azure para alojar el malware, se distribuye a través de paquetes MSI descargados por las víctimas de enlaces incompletos en correos electrónicos no deseados. Al iniciar el paquete, se descarga un archivo ZIP que contiene una DLL escrita en Delphi, que posteriormente inyecta el implante muy ofuscado. Además, el módulo principal de la puerta trasera está configurado para permanecer inactivo hasta que detecta una conexión a uno de los sistemas bancarios en línea codificados.
«Cuando se inicia Bizarro, primero mata todos los procesos del navegador para terminar cualquier sesión existente con sitios web de banca en línea», dijeron los investigadores. «Cuando un usuario reinicia los navegadores, se verá obligado a volver a ingresar las credenciales de la cuenta bancaria, que serán capturadas por el malware. Otro paso que toma Bizarro para obtener la mayor cantidad de credenciales posible es deshabilitar la función de autocompletar en un navegador. «
Si bien la función principal del troyano es capturar y filtrar las credenciales bancarias, la puerta trasera está diseñada para ejecutar 100 comandos desde un servidor remoto que le permite recopilar todo tipo de información de las máquinas Windows, controlar el mouse y el teclado de la víctima, registrar las pulsaciones de teclas, capturar capturas de pantalla. e incluso limitar la funcionalidad de Windows.
Bizarro es solo el último ejemplo de cómo los troyanos bancarios brasileños están afectando cada vez más a los dispositivos Windows y Android, uniéndose a malware como Guildma, Javali, Melcoz, Grandoreiro (colectivamente llamado Tetrade ), Amavaldo , Ghimob y BRATA , mientras se expanden simultáneamente. su huella de victimología en América del Sur y Europa.
«Los actores de amenazas detrás de esta campaña están adoptando varios métodos técnicos para complicar el análisis y la detección de malware, así como trucos de ingeniería social que pueden ayudar a convencer a las víctimas de que proporcionen datos personales relacionados con sus cuentas bancarias en línea», dijeron los investigadores.