El troyano bancario Bizarro busca víctimas en América Latina y Europa

El troyano bancario Bizarro, a veces llamado Bizzaro, es una amenaza que surgió por primera vez en América del Sur. Sin embargo, poco después de unos meses de actividad en la región, sus operadores optaron por ampliar su operación yendo tras las víctimas en Europa. La última versión del troyano bancario Bizarro puede apuntar a más de 70 bancos e instituciones financieras únicas activas en ambas regiones.

Aunque muchos de los troyanos bancarios activos en América Latina son exclusivos para Android, el troyano bancario Bizarro es diferente. Los sistemas Windows son su enfoque principal, pero el malware también intenta entregar software malicioso de Android a través de ventanas emergentes falsas, probablemente en un intento de comprometer el dispositivo móvil de la víctima y obtener acceso a códigos de autenticación de dos factores.

Normalmente, el primer contacto entre los atacantes y sus víctimas se produce a través de un mensaje de correo electrónico malicioso, que contiene un archivo adjunto. Los delincuentes no han hecho ningún esfuerzo por enmascarar la carga útil: se presenta como un instalador de MSI, que se hace pasar por una aplicación legítima. Normalmente, en tales campañas, los delincuentes confían en archivos de Microsoft Office que contienen un script malicioso.

Bizarro Checks para entornos virtuales y software de seguridad particular

Una vez ejecutado, el troyano bancario Bizarro recopilará detalles básicos del sistema, como la presencia de software antivirus, el navegador web predeterminado, la versión de Windows y el nombre de la computadora. Para preparar el sistema comprometido para el ataque, cerrará todos los navegadores en ejecución y terminará la conexión a todos los portales bancarios compatibles. No solo esto, sino que también deshabilitará la función de autocompletar del navegador. De esta manera, el malware asegura que la víctima deberá volver a ingresar su nombre de usuario y contraseña cuando desee acceder a su cuenta bancaria en línea.

Los delincuentes pueden enviar más de 100 comandos únicos al implante activo. Estos sirven para varios propósitos, tales como:

• Visualización de falsos errores, advertencias y alertas.
• Se muestra una superposición de autenticación de dos factores falsa.
• Genere un mensaje falso para descargar e instalar una aplicación de Android, que promete 'mejorar la seguridad': es una herramienta maliciosa destinada a extraer códigos de autenticación de dos factores.
• Controla el mouse y el teclado.
• Cargue / descargue y ejecute archivos.
• Registrar pulsaciones de teclas.
• Reinicie o apague la computadora, dañe Windows y más.

Otra característica interesante del troyano bancario Bizarro es su capacidad para monitorear el portapapeles en caso de que el usuario copie una dirección de Bitcoin. Si detecta una cadena que es una dirección válida de Bitcoin, el troyano la reemplazará con una billetera propiedad de los atacantes. De esta manera, pueden redirigir silenciosamente las transacciones de Bitcoin.

El troyano bancario Bizarro utiliza estrategias de ingeniería social muy sofisticadas para ganarse la confianza del usuario y engañarlo para que realice acciones que su banco nunca le pediría que hiciera. Los operadores de troyanos bancarios se están volviendo cada vez más sigilosos con sus ataques, y los usuarios deben ir un paso por delante de ellos invirtiendo en software anti-malware de buena reputación.