Bizarro Banking Trojan Sport Sofisticado Backdoor - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Bizarro Banking Trojan Sport Sofisticado Backdoor

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y en el día de hoy vamos a hablar sobre Bizarro Banking Trojan Sport Sofisticado Backdoor

Bizarro Banking Trojan Sport Sofisticado Backdoor

El malware brasileño avanzado se globalizó y recopiló los inicios de sesión bancarios de los usuarios de dispositivos móviles Android.

Un troyano bancario brasileño nunca antes documentado llamado Bizarro está apuntando a clientes de 70 bancos en Europa y América del Sur, dijeron los investigadores.

Según un análisis de Kaspersky publicado el lunes, Bizarro es un malware móvil destinado a capturar credenciales bancarias Online y secuestrar billeteras Bitcoin de usuarios de Android. Se propaga a través de paquetes de Microsoft Installer, que las víctimas descargan directamente de enlaces en correos electrónicos no deseados o se instalan a través de una aplicación troyana, según el análisis.

Una vez instalado, elimina todos los procesos del navegador en ejecución para finalizar las sesiones existentes con sitios web de banca Online, luego, cuando un usuario inicia una sesión de banca móvil, debe iniciar sesión nuevamente, lo que permite que el malware recopile los detalles. Para maximizar su éxito, Bizarro deshabilita el autocompletado en el navegador e incluso muestra ventanas emergentes falsas para extraer códigos de autenticación de dos factores, agregaron los investigadores.

Bizarro también tiene un módulo de captura de pantalla.

«Cargue la biblioteca magnification.dll y obtenga la dirección de la función obsoleta de la API MagSetImageScalingCallback», explicaron los investigadores de Kaspersky. “Con su ayuda, el troyano puede capturar la pantalla de un usuario y también monitorear constantemente el portapapeles del sistema, buscando una dirección de billetera Bitcoin. Si se encuentra uno, se reemplaza con una billetera que pertenece a los desarrolladores de malware. «

Y finalmente, Bizarro también tiene un módulo de puerta trasera principal que es capaz de ejecutar más de 100 comandos, según análisis.

«El componente principal de la puerta trasera no se inicia hasta que Bizarro detecta una conexión a uno de los sistemas bancarios Online codificados», explicaron los investigadores. “El malware hace esto enumerando todas las ventanas, recopilando sus nombres. Los espacios en blanco, las letras acentuadas (como ñ o á) y los símbolos que no son letras, como los guiones, se eliminan de las cadenas de nombres de las ventanas. Si el nombre de una ventana coincide con una de las cadenas codificadas, la puerta trasera continúa arrancando. «

Los comandos se dividen en algunos campos principales:

  • Comandos que permiten a los operadores de comando y control (C2) obtener datos sobre la víctima y administrar el estado de la conexión; por ejemplo, se le solicita la versión de Bizarro, el nombre del sistema operativo, el nombre de la computadora, el identificador único de Bizarro, el software antivirus instalado y el nombre del código utilizado para el banco al que accedió.
  • Comandos que permiten a los atacantes buscar y robar archivos ubicados en el disco duro de la víctima y aquellos que permiten a los adversarios instalar archivos en el dispositivo de la víctima.
  • Comandos que permiten a los atacantes controlar el mouse y el teclado del usuario.
  • Comandos que permiten a los atacantes controlar el funcionamiento de la puerta trasera, apagar, reiniciar o destruir el sistema operativo y limitar la funcionalidad de Windows.
  • Comandos que registran las pulsaciones de teclas.
  • Comandos que muestran varios mensajes que engañan a los usuarios para que permitan a los atacantes acceder a cuentas bancarias, incluidas ventanas emergentes falsas (por ejemplo, mensajes como «los datos ingresados ​​son incorrectos, inténtelo de nuevo»; mensajes de error que solicitan al usuario que ingrese una confirmación código; y aquellos que notifican al usuario que la computadora debe reiniciarse para completar una operación relacionada con la seguridad).
  • Comandos que permiten a Bizarro imitar los sistemas bancarios Online. Según Kaspersky, “Para ver estos mensajes, Bizarro tiene que descargar una imagen JPEG que contiene el logotipo del banco y las instrucciones que debe seguir la víctima. Estas imágenes se almacenan en el directorio de perfiles de usuario de forma cifrada. Antes de utilizar una imagen en un mensaje, se descifra con un algoritmo XOR multibyte. Dado que los mensajes se descargan del servidor C2, solo se pueden encontrar en las máquinas de las víctimas. «
  • Comandos que habilitan mensajes personalizados.

«Los mensajes personalizados que puede mostrar Bizarro son mensajes que congelan la máquina de la víctima, lo que permite a los atacantes ganar tiempo», según el análisis. “Cuando recibe un comando para mostrar un mensaje como este, la barra de tareas se oculta, la pantalla se vuelve gris y se muestra el mensaje en sí. Mientras ve el mensaje, el usuario no puede cerrarlo ni abrir el Administrador de tareas. El mensaje en sí informa al usuario que el sistema está comprometido y, por lo tanto, debe actualizarse o que los componentes de seguridad y rendimiento del navegador están instalados. Este tipo de mensaje también contiene una barra de progreso que cambia con el tiempo. «

Bizarro está activo en Argentina, Chile, Francia, Alemania, Italia, Portugal y España, dijeron los investigadores. Esta propagación global es típica de un grupo de cepas de malware bancario que se originan en Brasil, compuesto por Grandoreiro, Guildma, Javali y Melcoz.

Conocidas colectivamente como «el Tétrade» (traducido como «un grupo de cuatro»), estas familias utilizan una gama de técnicas innovadoras y técnicamente sofisticadas. Bizarro es el último en unirse al club (lo que, por cierto, hace que el nombre del grupo colectivo sea un poco engañoso).

Fuente: Kaspersky

Los investigadores dijeron que Bizarro está respaldado por una operación bastante amplia, que incluye el uso de afiliados y el reclutamiento de mulas de efectivo para realizar una variedad de funciones. Varias tareas incluyen realizar ataques iniciales para afianzarse en los dispositivos de las víctimas; ayuda con retiros para lavar fondos ilícitos; e incluso ayuda con la traducción.

«Los ciberdelincuentes buscan constantemente nuevas formas de propagar malware que roba credenciales para sistemas de pago electrónico y banca Online», dijo el experto en seguridad de Kaspersky, Fabio Assolini, en un comunicado. “Hoy asistimos a una tendencia revolucionaria en la distribución de malware bancario: los actores regionales atacan activamente a los usuarios, no solo en su región sino también en todo el mundo. Al implementar nuevas técnicas, las familias de malware brasileñas han comenzado a distribuirse a otros continentes y Bizarro, que se dirige a usuarios de Europa, es el ejemplo más claro. Debería servir como una señal para un mayor énfasis en el análisis de los delincuentes regionales y la inteligencia local sobre las amenazas tan pronto como pueda convertirse en un tema de preocupación mundial «.

.

Recuerda compartir en tu Facebook para que tus colegas lo lean

??? ? ? ???

Comparte