Bizarro, el troyano que roba datos
El virus utiliza a afiliados o contrata intermediarios para hacer operativos sus ataques. Se instala en sistemas Windows. Foto: Pixabay.
Un nuevo virus creado en Brasil está atacando a los bancos de diferentes países de la región y del mundo. Según el equipo de investigación de la empresa Kaspersky, este ‘malware’, conocido como Bizarro, emplea técnicas novedosas y sofisticadas para robar los datos financieros.
Bizarro forma parte de la familia de troyanos The Tétrade, que se originó en el 2020 en Sudamérica y que incluye otros virus, como Guildma, Javali, Melcoz y Grandoreiro. Todos expandieron sus operaciones por el mundo y atacaron a más de un centenar de bancos en los últimos años.
Bizarro fue detectado a finales de mayo y, desde entonces, ha afectado a más de 70 bancos en Europa; de estos, 22 son españoles. Según Kaspersky, los ciberdelincuentes que están tras esta familia de virus emplean distintas técnicas para complicar el análisis y su detección, así como trucos de ingeniería social que contribuyen a convencer a las víctimas para que faciliten credenciales bancarias.
Bizarro se distribuye a través de paquetes MSI (Microsoft Installer), que son descargados por las víctimas desde enlaces en correos electrónicos no deseados o mediante una aplicación troyana. Una vez ejecutado, el virus descarga un archivo ZIP de un sitio web comprometido para implementar sus funciones maliciosas adicionales de manera escondida.
Cuando los datos se envían al servidor de telemetría, Bizarro inicia el módulo de captura de pantalla. Hasta el momento, los investigadores de Kaspersky han observado que el ‘malware’ utiliza servidores alojados en plataformas como Azure, Amazon y servidores WordPress.
Los investigadores determinaron que el componente principal del virus es el ‘backdoor’ que contiene más de 100 comandos que actúan al mismo tiempo, de modo que muestran distintas ventanas emergentes que simulan los procesos de la banca ‘online’. Estas van pidiendo distintos datos a los usuarios y luego los usan para realizar transacciones de dinero.
La puerta trasera tiene numerosos comandos integrados para permitir la manipulación de un individuo específico, como uno que registra las pulsaciones de teclas y permite recopilar los datos de inicio de sesión de la víctima. En algunos casos, el ‘malware’ también puede permitir que los delincuentes se apoderen de la cartera criptográfica de la víctima.
Fabio Assolini, analista sénior de seguridad en Kaspersky, señala que este malware está dirigido principalmente a los usuarios europeos, sin embargo, en la región se ha atacado a países como Argentina y Chile. Considera que se debe poner mayor énfasis en el análisis de los ciberdelincuentes locales que buscan constantemente nuevas formas de distribuir ‘malware’ para robar credenciales de los sistemas de pago en línea.
Aunque los troyanos bancarios no son nuevos, los investigadores señalan que Bizarro demuestra cuán sofisticados se están volviendo los ciberdelincuentes y a qué escalas están operando en todo el mundo.
