La compañía experta en ciberseguridad Kaspersky ha descubierto e informado de una nueva familia de troyanos bancarios procedente de Brasil. Bizarro ya se ha extendido a otros países como España, Alemania, Francia, Italia, Portugal Argentina y Chile. De hecho, España es el país europeo más atacado por Bizarro, afectando a 22 entidades bancarias españolas. En el resto del mundo, el troyano ha atacado a 70 bancos distintos.
A través de correos spam
Bizarro se distribuye a través de paquetes MSI (Microsoft Installer) descargados por las víctimas de enlaces en correos electrónicos no deseados. Una vez lanzado, Bizarro descarga un archivo ZIP de un sitio web comprometido.
Los portavoces de Kaspersky dicen haber sido testigos en su investigación del funcionamiento de este malware de servidores de WordPress, Amazon y Azure hackeados y que se utilizaban para almacenar los archivos.
El instalador de MSI tiene dos enlaces integrados, el que se elija depende de la arquitectura del procesador de la víctima.
El malware actúa de tal forma que va mostrando distintas ventanas emergentes que emulan los procesos de la banca online.
Te contamos como actúa este malware
Los investigadores de Kaspersky subrayan que el componente principal de Bizarro es el ‘backdoor’, que contiene más de 100 comandos y la mayoría de ellos se utilizan para mostrar falsos mensajes emergentes a los usuarios.
Bizarro bloquea la página de inicio de sesión de un banco y le dice al usuario que se están instalando actualizaciones de seguridad.
Una de las maneras de las que actúa Bizarro es entrando a la página del banco. Una vez que intentamos acceder nos encontraremos que la web está bloqueada (esto ya es obra de Bizarro). En este momento, la web avisa al usuario que se están instalando actualizaciones de seguridad, pero puede avanzar pulsando un botón.
Bizarro le dice al usuario que no se preocupe por las transacciones que se produzcan durante la «actualización de seguridad», ya que sólo están confirmando la identidad del cliente. Esto hace que los clientes se sientan más seguros para aprobar las siguientes transacciones que solicita el atacante.
En ese momento, supuestamente se detecta un problema de seguridad. Aparece un aviso al cliente donde se le avisa de que se está actualizando el módulo para permitir el acceso a la página con seguridad. Dicen al usuario que no apague ni reinicie el dispositivo mientras, supuestamente, su banco, realiza actualizaciones y que tampoco pulse teclas ni use el ratón.
De momento no hemos tenido noticias ni avisos de ninguna entidad bancaria del país sobre esto, por lo que parece que o Bizarro no ha tenido éxito en ninguno de sus ataques en España, o alguna entidad que ha sido afectada no lo ha hecho público aún.
