Un reciente informe realizado por el equipo de investigación y análisis global de Kaspersky (GReAT), ha identificado una nueva familia de troyano bancario llamado Bizarro originaria de Brasil y que es dirigida a 70 bancos de diferentes continentes. Entre los países más afectados se encuentran España, Portugal, Francia, Italia, Alemania, Brasil, Argentina y Chile entre otros. Bizarro sigue los pasos de las grandes familias de troyanos bancarios como Guildma, Javali, Melcoz, Grandoreiro y Amavaldo.
El Equipo de Respuesta ante Emergencias Informáticas del Gobierno de Chile (CSIRT GOB), ha podido identificar y alertas sobre esta amenaza. Como se informa en la alerta 2CMV21-00174-0. Los cibercriminales utilizaron como vector de entrada un correo electrónico falso suplantando a la Tesorería General de Gobierno.
Este malware “es capaz de engañar a los usuarios para que introduzcan códigos de autenticación de dos factores en ventanas emergentes falsas. También puede convencer a un usuario para descargar una aplicación para teléfonos inteligentes con la ayuda de la ingeniería social.”
Los cibercriminales comprometieron servidores WordPress, ubicados Azure y Amazon. De esa forma recopilaban la telemetría y almacenaban el malware.
Bizarro se distribuye a través de un archivo MSI (Microsoft Installer), que es descargado por las víctimas desde enlaces de correos electrónicos no deseados suplantando alguna identidad conocida. Al seleccionar el enlace se descarga un archivo ZIP que contiene los siguientes archivos.
- Un archivo DLL malicioso.
- Un ejecutable legítimo que es un script de AutoHotkey (en algún caso se utiliza AutoIt).
- Un script que llama a una función exportada desde el archivo DLL mencionado anteriormente.
Luego de la infección del equipo, “el malware ya se encuentra listo para capturar la pantalla del usuario y también hacer un monitoreo constante del portapapeles del sistema, en busca de una dirección de billetera de Bitcoin. Si la encuentra, la reemplaza con la dirección de una billetera perteneciente a los desarrolladores de malware”, además los investigadores señalan que el componente principal de malware Bizarro es su puerta trasera, que contiene más de 100 comandos que en su mayoría se utilizan para mostrar mensajes emergentes falsos al usuario.
Bizarro al comunicarse con su servidor de comando y control, podrá recibir los siguientes funciones
- Buscar datos sobre la víctima y administrar el estado de la conexión
- Permitir el control de archivos en el disco duro
- Permite el control del mouse y el teclado
- Apagar, reiniciar o destruir el sistema operativo y limitar la funcionalidad de Windows
- Registrar las pulsaciones de teclas
- Comandos que permiten ataques de ingeniería social
