Se ha descubierto un nuevo troyano bancario que han bautizado como Bizarro y que según Kaspersky es una familia de troyanos originaria de Brasil que ya ha atacado a entidades bancarias de varios países del mundo como España, Portugal, Francia e Italia. Se sabe que ya ha intentado robar las credenciales de clientes de 70 bancos de diferentes países europeos y sudamericanos.
Usa técnicas de ingeniería social para convencer a sus víctimas de que entreguen sus datos personales y bancarios online. Bizarro se distribuye a través de paquetes MSI (Microsoft Installer) que la víctima descarga desde enlaces en correos electrónicos de spam. Una vez lanzado, Bizarro descarga un archivo ZIP de un sitio web comprometido.
Los portavoces de Kaspersky dicen haber sido testigos en su investigación del funcionamiento de este malware de servidores de WordPress, Amazon y Azure hackeados y que se utilizaban para almacenar los archivos.
Ningún banco español ha hablado de este tema, así que no hay información concreta aún de qué bancos han podido verse afectados ni del alcance del ataque o si ha sido un éxito o un fracaso por parte de los atacantes.
Cómo actúa este malware
En la siguiente imagen hay un ejemplo del mensaje que el malware enviaba a los clientes de entidades bancarias en España, según informaciones de la empresa de seguridad. Un cliente entra a la página de su banco y se encuentra que está bloqueada (esto ya es obra de Bizarro). La web avisa al usuario que se están instalando actualizaciones de seguridad pero puede avanzar pulsando un botón.
Bizarro le dice al usuario que no se preocupe por las transacciones que se produzcan durante la "actualización de seguridad", ya que sólo están confirmando la identidad del cliente. Esto hace que los clientes se sientan más seguros para aprobar las siguientes transacciones que solicita el atacante,como explican desde Kaspersky.
En ese momento, supuestamente se deteca un problema de seguridad. Aparece un aviso al cliente donde se le avisa de que se está actualizando el módulo para permitir el acceso a la página con seguridad. Dicen al usuario que no apague ni reinicie el dispositivo mientras, supuestamente, su banco, realiza actualizaciones y que tampoco pulse teclas ni use el ratón.
Hay diversas formas en las que obtiene información. Puede pedir a las víctimas en ese punto que envíen sus contraseñas de autenticación de dos pasos que pasarán a manos de los atacantes. Otra característica interesante que se ha visto o implica un intento de convencer a la víctima para que instale una aplicación maliciosa en su smartphone.
Para este último, Bizarro pide al usuario que elija cuál es el sistema operativo de su smartphone. Si la víctima elige Android, el servidor C2 enviará un enlace con una aplicación maliciosa al cliente. El cliente creará un código QR con la ayuda de la API de Google Charts. El código QR obtenido se muestra en una ventana con el siguiente texto: