Търсене
Close this search box.

Нов вариант на BBTok е насочен към над 40 банки в Латинска Америка

Активна кампания за зловреден софтуер, насочена към Латинска Америка, разпространява нов вариант на банков троянски кон, наречен BBTok, по-специално сред потребителите в Бразилия и Мексико.

„Банковият троянец BBTok разполага със специална функционалност, която възпроизвежда интерфейсите на повече от 40 мексикански и бразилски банки и подмамва жертвите да въведат неговия 2FA код към банковите си сметки или да въведат номера на платежната си карта“, казва Check Point в изследване, публикувано тази седмица.

Полезните товари се генерират от персонализиран скрипт PowerShell от страна на сървъра и са уникални за всяка жертва въз основа на операционната система и държавата, като същевременно се доставят чрез фишинг имейли, които използват различни типове файлове.

BBTok е банков зловреден софтуер, базиран на Windows, който се появи за първи път през 2020 г. Той е оборудван с функции, които обхващат типичната гама троянски коне, като му позволяват да изброява и убива процеси, да издава отдалечени команди, да манипулира клавиатурата и да обслужва фалшиви страници за вход в банки, работещи в двете държави.

Самите вериги за атака са доста прости, като използват фалшиви връзки или прикачени файлове ZIP, за да разгърнат незабелязано банкера, извлечен от отдалечен сървър (216.250.251[.]196), докато показват на жертвата примамлив документ.

Но те също така са разнообразни както за системите с Windows 7, така и за Windows 10, като основно предприемат стъпки за избягване на новоприлаганите механизми за откриване, като например Antimalware Scan Interface (AMSI), който позволява сканиране на машината за всякакви заплахи.

Други два ключови метода за преминаване под радара са използването на двоични файлове, които са извън територията на страната (LOLBins), и проверките за геофенсинг, за да се гарантира, че целите са само от Бразилия или Мексико, преди да се сервира зловредният софтуер чрез скрипта PowerShell.

След като бъде стартиран, BBTok установява връзки с отдалечен сървър, за да получи команди за симулиране на страниците за проверка на сигурността на различни банки.

При имитирането на интерфейси на латиноамерикански банки целта е да се събере информация за удостоверенията и автентификацията, въведена от потребителите, за да се извърши превземане на онлайн банкови сметки.

„Забележителен е предпазливият подход на оператора: всички банкови дейности се изпълняват само при директна команда от неговия C2 сървър и не се извършват автоматично на всяка заразена система“, заяви компанията.

Анализът на зловредния софтуер, извършен от Check Point, разкрива значително подобрение на неговото замаскиране и насочване от 2020 г. насам, което се разширява отвъд мексиканските банки. Наличието на испански и португалски език в изходния код, както и във фишинг имейлите, предлага подсказка за произхода на нападателите.

Смята се, че повече от 150 потребители са били заразени от BBTok, въз основа на базата данни SQLite, открита в сървъра, хостващ компонента за генериране на полезен товар, който записва достъпа до зловредното приложение.

Насочеността и езикът сочат, че участниците в заплахата вероятно действат от Бразилия, която продължава да бъде епицентър на мощни зловредни програми с финансова насоченост.

„Въпреки че BBTok успя да остане под радара благодарение на неуловимите си техники и насочването си към жертви само в Мексико и Бразилия, очевидно е, че той все още се разгръща активно“, казват от Check Point.

„Благодарение на многобройните си възможности и на уникалния си и креативен метод за доставка, включващ LNK файлове, SMB и MSBuild, той все още представлява опасност за организациите и физическите лица в региона.“

Развитието идва в момент, когато израелската компания за киберсигурност подробно описа нова мащабна фишинг кампания, която наскоро е била насочена към над 40 известни компании от различни индустрии в Колумбия с крайна цел внедряване на Remcos RAT чрез многоетапна последователност на заразяване.

„Remcos, усъвършенстван RAT тип „швейцарско  ножче“, предоставя на нападателите пълен контрол над заразения компютър и може да се използва при различни атаки. Често срещаните последици от заразяването с Remcos включват кражба на данни, последващи инфекции и превземане на акаунти“, казват от Check Point.

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
Бъдете социални
Още по темата
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
20/05/2024

Чрез GitHub и FileZilla се ...

Наблюдавана е „многостранна кампания“, при която...
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!