David Morán 27/07/21 2 min read

Bizarro: Infección mediante Macros Maliciosas

Bizarro, es un troyano bancario cuyos principales objetivos son entidades bancarias de américa latina, aunque en el último año ha comenzado a interesarse por entidades europeas, principalmente españolas e italianas.

La infección del sistema se realiza a través de correos electrónicos de SPAM que incluyen ficheros adjuntos que se tratan de ficheros de Microsoft Word con macros maliciosas o ficheros de scripts para Windows. Ambos tipos de ficheros cumplen una función de ‘dropper’, que consiste en descargar el ZIP malicioso con la DLL y el ejecutable legítimo a explotar, para finalmente descomprimir y ejecutar el malware.

Tras la ejecución, este troyano bancario permanece a la espera de que la víctima acceda a la página web de su banco, iniciando en ese momento la comunicación con el servidor de control. De esta forma el atacante, o de forma automatizada el servidor de control, se encargaría de dar las instrucciones necesarias al troyano para robar los datos del usuario y si es necesario, mostrar alguna de las ventanas con formularios.

Junto al robo de credenciales bancarias, este banker incluye también puede incluir funcionalidad para monitorizar el clipboard del sistema y detectar si se ha copiado una dirección de Bitcoin. En caso de que sea así, reemplazará dicha dirección con la dirección del atacante, logrando así que una posible transferencia de Bitcoins se realice a su dirección si la víctima no se da cuenta.

Aunque en los años que lleva esta familia de malware en funcionamiento no se han introducido grandes novedades, si que hemos podido observar un aumento progresivo en el número de entidades afectadas, coincidiendo que en el último año se han añadido entidades europeas además de las ya habituales de latinoamérica.

Descargar el informe completo aquí.

avatar

David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.