¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Bizarro, el troyano que busca acceder a tus datos bancarios

5 Mins read

Los cibercriminales no dejan de crear nuevas amenazas; en estos últimos meses hemos sido testigos de noticias relacionadas con ataques a grandes empresas y administraciones públicas, mayoritariamente de ransomware, aunque no son los únicos virus informáticos empleados. Además, las grandes compañías y los gobiernos no son los únicos objetivos de estos delincuentes digitales; pymes y particulares se encuentran también en sus listas. En este artículo vamos a ver una de las últimas amenazas en el mundo del malware, Bizarro, un troyano que amenaza a los clientes y usuarios de banca online de varios países.

¿Qué es «Bizarro» el nuevo troyano bancario?

Bizarro es el nombre que recibe una familia de troyanos bancarios de origen brasileño, descubiertos recientemente por los investigadores de Kaspersky y que actualmente amenaza a clientes de 70 bancos en países de Europa y Latinoamérica. Es uno de los nuevos virus informáticos de 2021.

Como cualquier otro troyano informático, Bizarro se emplea para descargar otros tipos de malware en el equipo de la víctima, principalmente un backdoor que permitirá a los cibercriminales ejecutar un amplio conjunto de comandos para controlar de forma remota el equipo infectado y llevar a cabo las acciones necesarias para lograr sus objetivos.

Objetivos de Bizarro

Como podréis deducir ya, al tratarse de un troyano bancario, los objetivos de Bizarro están en conseguir las credenciales de los usuarios de banca online, así como lograr que faciliten los códigos de verificación en dos pasos, para proceder a robar el dinero de sus cuentas.

Los investigadores que descubrieron esta amenaza estiman que hay 22 entidades bancarias afectadas por Bizarro, que habría intentado robar las credenciales de clientes de 70 bancos de países como España, Portugal, Francia, Italia, Argentina y Chile, convirtiéndose así en uno de los últimos virus informáticos que sale de sus fronteras regionales (Brasil) para distribuirse a escala internacional.

¿Cómo funciona este troyano?

Como los gusanos, Bizarro emplea técnicas de ingeniería social para alcanzar a sus víctimas, distribuyéndose a través de paquetes de Microsoft Installer (MSI) que las víctimas descargan desde enlaces en correos fraudulentos que se hacen pasar por organismos o entidades legítimas.

Cuando la víctima pulsa en el enlace, se descarga un archivo ZIP que implementará funciones adicionales. Estos archivos están alojados en sitios webs comprometidos; hasta la fecha, los investigadores habrían identificado servidores comprometidos de Amazon, Azure y WordPress.

Al iniciarse Bizarro en el equipo infectado, interrumpe todos los procesos del navegador, para cerrar todas las sesiones que el usuario tuviera abiertas, incluidas las de banca online, obligándole así tener que volver a introducir sus credenciales, que Bizarro se encarga de capturar ejecutando un módulo de captura de pantalla. Además, también deshabilita la función de autocompletar del navegador, de manera que obliga a la víctima a introducir las credenciales completas.

Si la víctima tiene una cartera de Bitcoin, Bizarro también es capaz de buscar su dirección y reemplazarla con la dirección de la cartera de los cibercriminales.

Pero sin duda, el punto fuerte de Bizarro y lo que lo convierte en una amenaza tan peligrosa es la capacidad que tiene para habilitar una backdoor en el equipo afectado y que es lo que emplea realmente para hacerse con las credenciales bancarias de sus víctimas.

La backdoor creada por Bizarro tiene más de 100 comandos, la mayoría de ellos destinados a mostrar mensajes emergentes falsos a las víctimas, para hacerles creer que es su banco quien está realizando las operaciones que va comunicando en dichos mensajes.

A través de estos comandos, los cibercriminales tienen prácticamente el control completo del equipo y podrán ir conduciendo a sus víctimas para conseguir que les faciliten sus credenciales y los códigos de verificación en dos pasos, todo ello sin que la víctima llegue a sospechar que los mensajes que están bloqueando su ordenador y que son supuestamente de su servicio de banca online, son en realidad falsos y sirven para que Bizarro lleve a cabo todas sus funciones.

Los mensajes, que aparecen bloqueando la página de inicio del servicio de banca online, indican a las víctimas que su equipo ha sido comprometido y que es necesario actualizarlo para solucionar el problema o que se están instalando componentes de seguridad y de mejora de rendimiento del navegador. A primera vista, el mensaje emergente parece legítimo, pero es una falsificación.

El propio mensaje ya advierte de que es posible que se deba facilitar información para confirmar la titularidad de la cuenta y que las transacciones que se puedan llevar a cabo tienen precisamente ese mismo fin, confirmar la identidad del usuario. Así mismo, advierte de que no se debe usar ni el teclado ni el ratón hasta que se solicite ni apagar o reiniciar el equipo mientras dure la supuesta actualización.

A través de estos mensajes y de otros mensajes de error, los cibercriminales que usan Bizarro pueden conseguir los códigos de verificación en dos pasos (o de dos factores), mientras la supuesta actualización mantiene «congelada» la página de la banca online.

Los investigadores también han detectado que Bizarro intenta que las víctimas descarguen e instalen una aplicación maliciosa en sus móviles Android, utilizando una ventana emergente con un aviso de que el dispositivo no está actualizado, de nuevo haciéndose pasar por el servicio de banca online legítimo.

¿Cómo protegerse de Bizarro?

Bizarro puede causarnos graves daños, sin embargo, como ocurre con otros malware, no estamos completamente indefensos ante esta última ciberamenaza, puesto que podemos protegernos de ella recurriendo a la precaución.

Como hemos dicho, Bizarro se distribuye a través de correos falsos, por lo que es probable que nuestro servidor de correo bloquee estos emails y los envíe directamente a la carpeta de spam o «no deseados», por lo que si nunca miramos ahí, difícilmente lo abriremos.

En caso de que el email fraudulento consiga pasar el filtro del servidor de correo, aparezca en nuestra bandeja de entrada y lo abramos, antes de pulsar en ningún enlace o descargar ningún archivo, debemos revisar la dirección del remitente, puesto que es posible que sea una dirección completamente extraña (con lo cual ya sabemos que estamos ante un mail falso) o se parezca bastante a la dirección legítima de nuestro banco, pero contenga alguna diferencia (por ejemplo, el dominio, lo que aparece tras la @, no corresponderá con el dominio real del banco).

En la siguiente imagen os dejamos un ejemplo de correo fraudulento, no el empleado por Bizarro, puesto que este supuestamente proviene de Endesa y no de un banco, pero la finalidad es la misma, hacerse con nuestras credenciales.

ejemplo de correo Bizarro

Si os fijáis en la dirección del remitente, aunque pone Endesa, la dirección del correo es «info@rajae.net», nada que ver con «Endesa.com» o «Endesaclientes.com».

Además, tampoco emplean nuestro nombre, sino ese general «Estimado cliente», aunque, cuidado, porque hay algunos emails falsos que sí pueden dirigirse a nosotros empleado nuestro nombre. Por ello, siempre debemos comprobar la dirección.

Y si os quedan dudas, lo mejor es no pulsar nunca en un enlace o descargar un archivo de correos que resulten sospechosos.

Aparte de esto, contar con un antivirus o una solución de seguridad capaz de detectar este tipo de ataques y malware puede evitar que lleguen a ejecutarse en nuestro equipo.

Y si ya hemos descargado Bizarro sin darnos cuenta, en el momento que aparezca uno de esos mensajes de problemas de seguridad o actualización, lo recomendable sería, si es posible, desconectar el equipo de Internet y reiniciarlo desde el modo seguro de Windows, para poder hacer las comprobaciones pertinentes, pasarle el antivirus y tratar de eliminarlo del sistema.

En caso de que sea el móvil lo que se haya infectado, deberemos proceder a eliminar Bizarro de él, siguiendo los pasos que recomendamos en este artículo sobre eliminar un troyano en Android.

Aunque esperamos que tras leer sobre esta alerta de virus informático hoy, seáis capaces de identificar el mail falso que intentará que descarguéis Bizarro en vuestros equipos y lo evitéis enviándolo directamente a la carpeta de spam, la papelera o lo marquéis como phishing.

About author
Licenciada en Periodismo por la Universidad Complutense de Madrid. Redactora de contenidos informativos, jurídicos y empresariales, Internet, nuevas tecnologías, entorno digital, ciberseguridad y protección de datos.
Articles
Related posts
Ciberseguridad

NetWalker, el ransomware que se aprovechó del Covid-19 para atacar centros educativos y de salud

6 Mins read
Los cibercriminales también se aprovechan de la actualidad para hacer negocio, cómo vamos a ver en este artículo sobre el ransomware NetWalker,…
CiberseguridadCloud Computing

DPaaS o data protection as a service, una tendencia en alza

7 Mins read
En este artículo vamos a hablaros de un servicio en la nube que cada vez cobra más importancia y presencia, el DPaaS…
CiberseguridadInternet

¿Es seguro registrarse con tu cuenta de Google, Twitter o Facebook?

5 Mins read
Hasta no hace mucho tiempo, cada vez que queríamos hacernos una cuenta de usuario en una web o aplicación, teníamos que crear…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.