Así opera Bizarro, un nuevo troyano brasileño que ya ha atacado a 70 bancos

  • Actualidad

seguridad troyano

Los troyanos bancarios procedentes de Sudamérica siguen estando muy activos este año. El último de ellos es Bizarro, que sigue la senda de otros conocidos, como Guildma, Javali, Melcoz y Grandoreiro). Este malware originario de Brasil ya ha atacado en el mundo a 70, 22 de ellos españoles.

Recomendados: 

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

Anatomía del ataque a una cuenta privilegiada Leer

Durante el año pasado, los investigadores de la firma detectaron varios troyanos bancarios que procedían de Sudamérica (Guildma, Javali, Melcoz y Grandoreiro) y que expandían sus operaciones por todo el mundo. Conocidas en su conjunto como “the Tétrade”, estas familias empleaban una variedad de novedosas, innovadoras y sofisticadas técnicas. En 2021 esta tendencia se mantiene, y prueba de ello es el descubrimiento de un nuevo actor de amenazas, Bizarro, con origen en en Brasil, ya ha atacado a 70 bancos, 22 de ellos españoles.

Se trata de una nueva familia de troyanos bancarios que ya se ha extendido hasta otros países como España, Alemania, Francia, Italia, Portugal Argentina y Chile. Como Tétrade, Bizarro utiliza a afiliados o contrata intermediarios para hacer operativos sus ataques, bien realizando el cobro o simplemente ayudando en las traducciones. A su vez, los ciberdelincuentes que están tras esta familia de malware están empleando distintas técnicas para complicar el análisis y la detección del malware, así como trucos de ingeniería social que contribuyen a convencer a las víctimas para que faciliten sus credenciales bancarias.

Este malware se distribuye a través de paquetes MSI (Microsoft Installer), que son descargados por las víctimas desde enlaces en correos electrónicos spam. Una vez ejecutado, Bizarro descarga un archivo ZIP de un sitio web comprometido para implementar sus funciones maliciosas adicionales. Una vez enviados los datos al servidor de telemetría, Bizarro inicia el módulo de captura de pantalla.

Hasta el momento, Kaspersky ha observado que Bizarro utiliza servidores alojados en Azure, Amazon y servidores WordPress comprometidos para almacenar el malware y recoger la telemetría. Los investigadores de Kaspersky subrayan que el componente principal de Bizarro es el backdoor, que contiene más de 100 comandos y la mayoría de ellos se utilizan para mostrar falsos mensajes emergentes a los usuarios. Algunos de ellos incluso intentan imitar los sistemas de banca online.

Consejos para la banca
-- Facilitar al equipo del SOC (centro de operaciones de seguridad) el acceso a la última información sobre amenazas para mantenerlo al día sobre las nuevas herramientas y técnicas utilizadas por los ciberdelincuentes.

-- Mejorar las competencias del equipo para hacer frente a las últimas amenazas.

-- Informar a sus clientes con regularidad sobre los posibles peligros y trucos que pueden utilizar los ciberdelincuentes. Es conveniente ayudarles a identificar el fraude y que sepan cómo actuar en esta situación.

-- Implementar una solución antifraude que pueda detectar fraudes sofisticados.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos