Mekotio
o
Bizarro o Ulise es otra familia de troyanos bancarios originaria de
Brasil,
la cual ahora también se encuentra en otras regiones del mundo. Hemos
identificado usuarios que han sido atacados por Bizarro en España, Portugal,
Francia e Italia. Su objetivo es robar las credenciales de clientes de 70
bancos de diferentes países europeos y sudamericanos. El malware está dirigido a 70 bancos de diferentes países europeos y
sudamericanos.
Mekotio sigue los mismos pasos de
Tetrade: para realizar sus ataques, utiliza afiliados o recluta «mulas» que retiran
el dinero o simplemente usa traducciones a los idiomas locales para solicitar
ayuda.
En este artículo de Kaspersky mostraremos las características técnicas de los
componentes del troyano, dando una visión detallada de las técnicas de
ofuscación, el proceso de infección y su funcionamiento posterior, así como
las tácticas de ingeniería social utilizadas por los ciberdelincuentes para
convencer a las víctimas de proporcionar sus datos personales relacionados con
la banca en línea.
Mekotio se compone de módulos x64 y es capaz de engañar a los usuarios para
que introduzcan códigos de autenticación de dos factores en ventanas
emergentes falsas. También puede convencer a un usuario para descargar una
aplicación para teléfonos inteligentes con la ayuda de la ingeniería social.
Usa servidores hospedados en Azure y Amazon y servidores de WordPress
comprometidos para almacenar el malware y recopilar telemetría.
Escenario de ataque
Con la ayuda de los comandos que los desarrolladores de Bizarro han incluido
en el troyano, los delincuentes pueden lanzar el ataque bajo el siguiente
esquema:
Bancos y países afectados
Según la lista de bancos identificados en la campaña, el actor de amenazas
detrás de Bizarro está apuntando a clientes de varios bancos de Europa y
Sudamérica. Gracias nuestra telemetría, hemos visto víctimas de Bizarro en
diferentes países, entre ellos Brasil, Argentina, Chile, Alemania, España,
Portugal, Francia e Italia. Estas estadísticas vuelven a demostrar que los
operadores de Bizarro han ampliado su interés hacia otras regiones más allá de
Brasil.
Distribución
Bizarro se distribuye a través de paquetes MSI que las víctimas
descargan desde enlaces en correos electrónicos no deseados. Una vez
ejecutado, Bizarro descarga un archivo ZIP desde un sitio web previamente
comprometido. En el momento de la publicación, identificamos servidores
comprometidos de WordPress, Amazon y Azure utilizados para descargar el
archivo ZIP. El instalador tiene dos vínculos embebidos, de los cuales uno se
elige en función de la arquitectura del procesador.
El archivo descargado contiene los siguientes archivos:
- un archivo DLL malicioso;
-
un ejecutable legítimo que es un script de AutoHotkey (en algunos ejemplos
se utiliza AutoIt en lugar de AutoHotkey); -
un pequeño script que llama a una función exportada desde el archivo DLL
mencionado anteriormente.
El archivo DLL que se descarga en el disco está desarrollado en Delphi y
exporta una función que contiene el código malicioso. Los desarrolladores del
malware suelen ofuscar los archivos con el fin de complicar el análisis de
código.
Cuando Bizarro se inicia, primero interrumpe todos los procesos del navegador
para terminar las sesiones existentes con los sitios web de banca en línea.
Cuando se reinician los procesos del navegador, el usuario se ve obligado a
volver a introducir las credenciales de su cuenta bancaria, y el malware las
captura. Otra técnica que Bizarro utiliza para obtener la mayor cantidad
posible de credenciales es deshabilitar la función de autocompletar en el
navegador.
Bizarro recopila la siguiente información acerca del sistema en el que se
ejecuta:
- el nombre del equipo;
- la versión del sistema operativo;
- el nombre predeterminado del navegador;
- el nombre del software antivirus instalado.
La funcionalidad de backdoor es el componente central de Bizarro ya que
permite a los atacantes robar credenciales de cuentas bancarias en
línea.
El backdoor contiene más de 100 comandos y la mayoría de ellos se utilizan
para mostrar mensajes emergentes falsos a los usuarios. Los componentes
principales del backdoor no se inician hasta que Bizarro detecta una conexión
a uno de los sistemas de banca en línea de alguno de los bancos enumerados en
el código.
Para hacerlo, el malware identifica las ventanas abiertas y recopila su
nombres. Si estos nombres contienen caracteres en blanco, letras con acentos o
caracteres especiales (como ñ o á) o símbolos que no son letras del alfabeto,
como guiones, los elimina de las cadenas del nombre de las ventanas. Si el
malware identifique el nombre de una ventana que coincida con la lista de
palabras relacionadas con la aplicación de un banco, entonces se continúa con
la ejecución del malware.
Los mensajes más interesantes que muestra Bizarro son los que fingen ser de
sistemas bancarios en línea. Para mostrar estos mensajes, Bizarro necesita
descargar una imagen JPEG que contenga el logotipo del banco y las
instrucciones que la víctima debe seguir. Estas imágenes se almacenan en el
directorio del perfil de usuario de forma cifrada. Antes de utilizar una
imagen en un mensaje, se la descifra con un algoritmo XOR de varios bytes. A
medida que los mensajes se descargan desde el servidor C2, solo se pueden
encontrar en las máquinas de las víctimas.
Los dos mensajes siguientes tratan de convencer a la víctima de que su sistema
está comprometido. En la mayoría de ellos, Bizarro le dice al usuario que no
preste atención las transacciones que se producirán durante la «actualización
de seguridad», ya que se utilizan sólo para confirmar la identidad del
cliente. Este mensaje hace que los clientes se sientan seguros de aprobar
todas las transacciones solicitadas por los atacantes.
Bizarro también intenta inducir a las víctimas a que envíen códigos de
autenticación de dos factores a los atacantes. Otra característica interesante
que hemos visto es que puede tratar de convencer a la víctima de que instale
una aplicación maliciosa en su teléfono inteligente. Utiliza las siguientes
ventanas para identificar el tipo de sistema operativo móvil instalado:
Conclusión
Hace poco hemos identificado varios troyanos bancarios procedentes de
Sudamérica (como Guildma, Javali, Melcoz, Grandoreiro y Amavaldo) que están
expandiendo sus operaciones a otras regiones, sobre todo Europa. Mekotio /
Bizarro es un ejemplo más de ello. Los actores de amenazas detrás de esta
campaña están tratando de adoptar varios métodos técnicos para complicar el
análisis y la detección de malware, así como trucos de ingeniería social que
pueden ayudar a convencer a las víctimas de que proporcionen sus datos
personales relacionados con la banca en línea.
Fuente:
Kaspersky
Los comentarios están cerrados.