Esta oleada está relacionada con el troyano bancario que Kaspersky ha bautizado como Bizarro. Entre los países afectados encontramos a España, Portugal, Francia e Italia. También hay algunos países de América Latina afectados, siendo Brasil uno de los grandes objetivos.

Usa webs reales que han hackeado previamente

La campaña de malware cuenta con varias partes dinámicas. La más importante es engañar a los usuarios para que introduzcan los códigos de verificación en dos pasos en webs falsas que en realidad están bajo el control de los atacantes. También aprovechan la ingeniería social para que los usuarios se descarguen una app maliciosa en sus terminales, para lo cual les contactan por email.

Para alojar el malware, Bizarro utiliza servidores de WordPress, Amazon y Azure cuyo control han tomado mediante hackeo, de manera que pueden usar webs «reales» para ofrecer sus archivos maliciosos y saltarse los controles de Google Safe Browsing. El malware va en paquetes MSI, el cual, al abrirlo, descargar un ZIP que contiene un DLL que inyecta la carga final. El módulo principal del malware está configurado para mantenerse inactivo hasta que detecta una conexión a uno de los 70 bancos online que puede suplantar.

Cuando se detecta que el usuario ha accedido a la web de un banco, el malware cierra todos los procesos del navegador para cerrar todas las pestañas con el enlace real del banco. Cuando el usuario vuelve a abrir el navegador, tiene que reintroducir las credenciales del banco, las cuales son capturadas por el malware. El malware desactiva la función de autocompletado, por lo que el usuario se ve forzado a introducirlas a mano, y por tanto el keylogger del malware las registra.

Roban credenciales y dinero

En este proceso, normalmente suele mostrarse una página de alerta en la que se dice que «Nuestro sistema ha detectado que la seguridad de su dispositivo de acceso puede estar comprometida», y que van a analizar el dispositivo. En este proceso, abren programas y pueden llegar a realizar transacciones bancarias, donde dicen que lo hacen para «confirmar la titularidad de la cuenta», cuando lo que están haciendo es sacar dinero de la cuenta.

Además de keylogger, el malware recopila todo tipo de información del ordenador, incluyendo control del ratón, capturas de pantalla, e incluso limitar funcionalidades de Windows. Su diseño es cada vez más sofisticado y difícil de detectar, ya que el estar inactivo dificulta su detección con antivirus. A eso se le une un uso más depurado de las técnicas de ingeniería social, y la especificación del ataque detectando más de 70 entidades diferentes.

Por ello, lo recomendable siempre en estos casos es no abrir enlaces sospechosos en nuestro email, y si se nos envía cualquier notificación, tenemos que entrar manualmente a la dirección de nuestro banco y comprobar si ahí tenemos algún mensaje o notificación al respecto.