troyano bancario
Nuestro equipo de investigación ha descubierto un nuevo malware bancario procedente de Brasil, denominado Bizarro, dirigido a 70 bancos diferentes de distintos países europeos y sudamericanos. Entre los países europeos más afectados se encuentra España, con un total de 22 entidades atacadas.
Está siendo habitual que la procedencia de este tipo de malware bancario sea brasileña, como ocurrió el pasado año con la familia de troyanos bancarios Tetrade.
Bizarro sigue los mismos pasos de Tetrade. Para realizar sus ataques utiliza afiliados o recluta “mulas” que retiran el dinero, o simplemente usa traducciones a los idiomas locales para solicitar ayuda.
¿Cómo se extiende el troyano bancario Bizarro?
Bizarro se distribuye a través de paquetes MSI (Microsoft Installer), que son descargados por las víctimas desde enlaces en correos electrónicos spam.
Ejemplo típico de correo malicioso enviado por los operadores de Bizarro
Una vez ejecutado, Bizarro descarga un archivo ZIP de un sitio web comprometido para implementar sus funciones maliciosas adicionales.
Una vez enviados los datos al servidor de telemetría, Bizarro inicia el módulo de captura de pantalla.
Nuestros investigadores subrayan que el componente principal de Bizarro es el backdoor (puerta trasera), que contiene más de 100 comandos y la mayoría de ellos se utilizan para mostrar falsos mensajes emergentes a los usuarios.
Esto les permite a los atacantes robar credenciales de cuentas bancarias.
Ejemplo de Bizarro bloqueando una página de inicio de sesión bancaria y avisando al usuario de que se están instalando actualizaciones de seguridad
Si quieres puedes conocer más datos técnicos sobre el troyano bancario Bizarro en Securelist.
Como apunta Fabio Assolini, experto en seguridad de Kaspersky, los ciberdelincuentes están constantemente buscando nuevas formas de distribuir malware que robe las credenciales de los sistemas de pago electrónico y banca online.
Hay una tendencia que está cambiando las reglas del juego en la propagación de malware bancario: la globalización de los ataques.
Los actores regionales no solo atacan activamente a los usuarios de su región de origen, sino de todo el mundo.
Mediante la aplicación de nuevas técnicas, las familias de malware brasileñas han comenzado a extenderse a otros continentes, y Bizarro, dirigido principalmente a los usuarios europeos, es el ejemplo claro de ello.
Esto debería servir como señal para poner mayor énfasis en el análisis de los delincuentes regionales y en la inteligencia de las amenazas locales, ya que muy pronto podría convertirse en un problema de alcance mundial.
¿Cómo deben protegerse las instituciones financieras?
- Facilite a su equipo SOC el acceso a la última información sobre amenazas para mantenerlo al día sobre las nuevas herramientas y técnicas utilizadas por los ciberdelincuentes. Kaspersky Financial Threat Intelligence Reporting contiene IoCs, reglas Yara y hashes para todas estas amenazas.
- Mejore las competencias de su equipo SOC para hacer frente a las últimas amenazas dirigidas con la formación online de Kaspersky desarrollada por los expertos del GReAT.
- Informe a sus clientes sobre los posibles peligros y trucos que pueden utilizar los ciberdelincuentes. Infórmeles con regularidad sobre cómo identificar el fraude y cómo actuar en esta situación.
- Implemente una solución antifraude que pueda detectar fraudes sofisticados. Por ejemplo, Kaspersky Fraud Prevention, una solución antifraude para asegurar cada sesión de banca online que no solo combate los intentos maliciosos (inyección de JavaScript, conexión oculta de Herramientas de Administración Remota y uso de sitios web) en la etapa de gestación del robo, sino que también identifica un comportamiento posterior incorrecto en las cuentas y detecta casos de ingeniería social.
Consejos