Bizarro: nuevo troyano bancario evidenciado en Europa y Sudamérica

Pareciera que las operaciones de malware dentro del panorama de amenazas no cesan puesto que se ha evidenciado la existencia de un nuevo troyano bancario por parte de los investigadores de Kaspersky, al cual han llamado “Bizarro”. Dicho malware formaría parte de una nueva familia de troyanos bancarios de origen brasileño que han dirigidos sus ataques de robo de credenciales a más de 70 bancos en distintas partes del mundo, principalmente España Portugal, Francia, Italia y algunos países de Sudamérica.

Troyano Bancario Bizarro

Tal como se mencionó anteriormente Bizarro ha sido detectado recientemente con fuertes campañas de robo de credenciales bancarias. Al ser proveniente de Brasil y contar con algunas características evidenciadas en otros malware se podría considerar como una variante de otros troyanos bancarios como Mekotio, ya que comparten similitudes en sus modus operandi.

Se tienen además antecedentes de que Bizarro está utilizando afiliados o reclutando mulas de dinero para operar sus ataques, cobrar o simplemente para ayudar con las transferencias.

Infección

Bizarro se distribuye a través de paquetes MSI descargados por las víctimas de enlaces en correos electrónicos no deseados. Una vez lanzado, Bizarro descarga un archivo ZIP de un sitio web comprometido.

Se han evidenciado servidores comprometidos de WordPress, Amazon y Azure utilizados para almacenar archivos. El instalador de MSI tiene dos enlaces integrados, el que se elige depende de la arquitectura del procesador de la víctima.

El archivo ZIP descargado contiene los siguientes archivos y comportamientos:

• Una DLL maliciosa escrita en Delphi.
• Un ejecutable legítimo que es un programa de ejecución de secuencias de comandos de AutoHotkey (en algunos ejemplos se utiliza AutoIt en lugar de AutoHotkey).
• Un pequeño script que llama a una función exportada desde la DLL maliciosa.
• La DLL exporta una función que contiene el código malicioso.
• Los desarrolladores de malware han utilizado la ofuscación para complicar el análisis del código. 
• Los trucos utilizados para complicar el análisis consisten en el despliegue constante y la inserción de código basura.
• Cuando se inicia Bizarro, primero mata todos los procesos del navegador para terminar cualquier sesión existente con sitios web de banca en línea.
• Cuando un usuario reinicia los navegadores, se verá obligado a volver a ingresar las credenciales de la cuenta bancaria, que serán capturadas por el malware. 
• Otro paso que toma Bizarro para obtener la mayor cantidad de credenciales posible es deshabilitar la función de autocompletar en un navegador.

Bizarro recopila la siguiente información sobre el sistema en el que se está ejecutando:

• Nombre del computador.
• Versión del sistema operativo.
• Nombre del navegador predeterminado.
• Nombre del software antivirus instalado.
• El troyano puede capturar la pantalla de un usuario y también monitorear constantemente el portapapeles del sistema, buscando una dirección de billetera Bitcoin. Si encuentra uno, se reemplaza con una billetera que pertenece a los desarrolladores de malware.

Puerta trasera

La puerta trasera es el componente central de Bizarro: contiene más de 100 comandos y permite a los atacantes robar credenciales de cuentas bancarias en línea. La mayoría de los comandos se utilizan para mostrar mensajes emergentes falsos a los usuarios. El componente central de la puerta trasera no se inicia hasta que Bizarro detecta una conexión a uno de los sistemas bancarios en línea codificados.

Instrucciones que puede recibir Bizarro de su C2 :

• Comandos que permiten obtener datos sobre la víctima y administrar el estado de la conexión.
• Comandos que permiten a los atacantes controlar los archivos ubicados en el disco duro de la víctima.
• Comandos que permiten a los atacantes controlar el mouse y el teclado del usuario.
• Comandos que permiten a los atacantes controlar la operación de puerta trasera, apagar, reiniciar o destruir el sistema operativo y limitar la funcionalidad de Windows.
• Comandos que registran las pulsaciones de teclas.
• Comandos que realizan ataques de ingeniería social

Bizarro presente en diferentes países europeos y sudamericanos, incluyendo Chile

.

Distribución de detecciones de Bizarro en los últimos 12 meses según kaspersky

.

Correo de campaña en Chile

Panorama

Recientemente, hemos visto varios troyanos bancarios de América del Sur (como Guildma, Javali, Mekotio, Grandoreiro y Amavaldo) expandiendo sus operaciones a otras regiones, principalmente Europa. Bizarro se ha evidenciado en campañas en varios países incluyendo Chile, adoptando técnicas para complicar el análisis y la detección de malware, así como trucos de ingeniería social que pueden ayudar a convencer a las víctimas de que proporcionen datos personales relacionados con sus cuentas bancarias en línea. Otra característica interesante que se ha visto implica un intento de convencer a la víctima para que instale una aplicación maliciosa en su smartphone.

 Es importante destacar que estos malware provenientes de Brasil producen variantes de troyanos bancarios con el objetivo de expandir sus operaciones y así mantener la obtención de dinero o credenciales de acceso del servicio de banca electrónica de sus víctimas. 

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.