Uma campanha ativa de malware direcionada à América Latina está distribuindo uma nova variante de um trojan bancário chamado BBTok , especialmente usuários no Brasil e no México.
“O banqueiro BBTok tem uma funcionalidade dedicada que replica as interfaces de mais de 40 bancos mexicanos e brasileiros e engana as vítimas para que insiram seu código 2FA em suas contas bancárias ou para que insiram o número do cartão de pagamento”, disse a Check Point em pesquisa You must be logged in to see this link. este semana.
As cargas são geradas por um script PowerShell personalizado no lado do servidor e são exclusivas para cada vítima com base no sistema operacional e no país, enquanto são entregues por meio de e-mails de phishing que utilizam uma variedade de tipos de arquivos.
BBTok é um malware bancário baseado em Windows que You must be logged in to see this link. em 2020. Ele é equipado com recursos que executam a gama típica de trojan, permitindo enumerar e eliminar processos, emitir comandos remotos, manipular teclado e fornecer páginas de login falsas para bancos que operam no dois países.
As cadeias de ataque em si são bastante simples, empregando links falsos ou anexos de arquivos ZIP para implantar furtivamente o banqueiro recuperado de um servidor remoto (216.250.251[.]196) enquanto exibe um documento falso para a vítima.
Mas eles também são diversificados para sistemas Windows 7 e Windows 10, principalmente tomando medidas para evitar mecanismos de detecção recém-implementados, como Antimalware Scan Interface ( You must be logged in to see this link. ), que permite verificar a máquina em busca de quaisquer ameaças.
Dois outros métodos importantes para passar despercebidos são o uso de binários Living-off-the-land (LOLBins) e verificações de geofencing para garantir que os alvos sejam apenas do Brasil ou do México antes de veicular o malware por meio do script PowerShell.
Uma vez lançado, o BBTok estabelece conexões com um servidor remoto para receber comandos para simular as páginas de verificação de segurança de diversos bancos.
Ao personificar as interfaces dos bancos latino-americanos, o objetivo é coletar informações de credenciais e autenticação inseridas pelos usuários para realizar o controle de contas bancárias on-line.
“O que é notável é a abordagem cautelosa da operadora: todas as atividades bancárias só são executadas sob comando direto do seu servidor C2 e não são realizadas automaticamente em todos os sistemas infectados”, disse a empresa.
A análise do malware pela Check Point revelou uma melhoria significativa na sua ofuscação e direcionamento desde 2020, expandindo-se para além dos bancos mexicanos. A presença dos idiomas espanhol e português no código-fonte, bem como nos e-mails de phishing, oferece uma pista sobre a origem dos invasores.
Estima-se que mais de 150 usuários tenham sido infectados pelo BBTok,
A segmentação e a linguagem apontam para os atores da ameaça que provavelmente operam fora do Brasil, que continua a ser o You must be logged in to see this link. de You must be logged in to see this link. .
“Embora o BBTok tenha conseguido permanecer fora do radar devido às suas técnicas evasivas e visando vítimas apenas no México e no Brasil, é evidente que ele ainda está ativamente implantado”, disse Check Point.
"Devido às suas muitas capacidades e ao seu método de entrega único e criativo envolvendo arquivos LNK, SMB e MSBuild, ainda representa um perigo para organizações e indivíduos na região."
O desenvolvimento ocorre no momento em que a empresa israelense de segurança cibernética detalha uma nova campanha de phishing em grande escala que recentemente teve como alvo mais de 40 empresas proeminentes em vários setores na Colômbia, com o objetivo final de implantar o Remcos RAT por meio de uma sequência de infecção em vários estágios.
"Remcos, um sofisticado RAT 'canivete suíço', concede aos invasores controle total sobre o computador infectado e pode ser usado em uma variedade de ataques. As consequências comuns de uma infecção por Remcos incluem roubo de dados, infecções subsequentes e controle de contas",
“O banqueiro BBTok tem uma funcionalidade dedicada que replica as interfaces de mais de 40 bancos mexicanos e brasileiros e engana as vítimas para que insiram seu código 2FA em suas contas bancárias ou para que insiram o número do cartão de pagamento”, disse a Check Point em pesquisa You must be logged in to see this link. este semana.
As cargas são geradas por um script PowerShell personalizado no lado do servidor e são exclusivas para cada vítima com base no sistema operacional e no país, enquanto são entregues por meio de e-mails de phishing que utilizam uma variedade de tipos de arquivos.
BBTok é um malware bancário baseado em Windows que You must be logged in to see this link. em 2020. Ele é equipado com recursos que executam a gama típica de trojan, permitindo enumerar e eliminar processos, emitir comandos remotos, manipular teclado e fornecer páginas de login falsas para bancos que operam no dois países.
As cadeias de ataque em si são bastante simples, empregando links falsos ou anexos de arquivos ZIP para implantar furtivamente o banqueiro recuperado de um servidor remoto (216.250.251[.]196) enquanto exibe um documento falso para a vítima.
Mas eles também são diversificados para sistemas Windows 7 e Windows 10, principalmente tomando medidas para evitar mecanismos de detecção recém-implementados, como Antimalware Scan Interface ( You must be logged in to see this link. ), que permite verificar a máquina em busca de quaisquer ameaças.
Dois outros métodos importantes para passar despercebidos são o uso de binários Living-off-the-land (LOLBins) e verificações de geofencing para garantir que os alvos sejam apenas do Brasil ou do México antes de veicular o malware por meio do script PowerShell.
Uma vez lançado, o BBTok estabelece conexões com um servidor remoto para receber comandos para simular as páginas de verificação de segurança de diversos bancos.
Ao personificar as interfaces dos bancos latino-americanos, o objetivo é coletar informações de credenciais e autenticação inseridas pelos usuários para realizar o controle de contas bancárias on-line.
“O que é notável é a abordagem cautelosa da operadora: todas as atividades bancárias só são executadas sob comando direto do seu servidor C2 e não são realizadas automaticamente em todos os sistemas infectados”, disse a empresa.
A análise do malware pela Check Point revelou uma melhoria significativa na sua ofuscação e direcionamento desde 2020, expandindo-se para além dos bancos mexicanos. A presença dos idiomas espanhol e português no código-fonte, bem como nos e-mails de phishing, oferece uma pista sobre a origem dos invasores.
Estima-se que mais de 150 usuários tenham sido infectados pelo BBTok,
A segmentação e a linguagem apontam para os atores da ameaça que provavelmente operam fora do Brasil, que continua a ser o You must be logged in to see this link. de You must be logged in to see this link. .
“Embora o BBTok tenha conseguido permanecer fora do radar devido às suas técnicas evasivas e visando vítimas apenas no México e no Brasil, é evidente que ele ainda está ativamente implantado”, disse Check Point.
"Devido às suas muitas capacidades e ao seu método de entrega único e criativo envolvendo arquivos LNK, SMB e MSBuild, ainda representa um perigo para organizações e indivíduos na região."
O desenvolvimento ocorre no momento em que a empresa israelense de segurança cibernética detalha uma nova campanha de phishing em grande escala que recentemente teve como alvo mais de 40 empresas proeminentes em vários setores na Colômbia, com o objetivo final de implantar o Remcos RAT por meio de uma sequência de infecção em vários estágios.
"Remcos, um sofisticado RAT 'canivete suíço', concede aos invasores controle total sobre o computador infectado e pode ser usado em uma variedade de ataques. As consequências comuns de uma infecção por Remcos incluem roubo de dados, infecções subsequentes e controle de contas",