Активна кампания за зловреден софтуер, насочена към Латинска Америка, разпространява нов вариант на банков троянски кон, наречен BBTok, по-специално сред потребителите в Бразилия и Мексико.
„Банковият троянец BBTok разполага със специална функционалност, която възпроизвежда интерфейсите на повече от 40 мексикански и бразилски банки и подмамва жертвите да въведат неговия 2FA код към банковите си сметки или да въведат номера на платежната си карта“, казва Check Point в изследване, публикувано тази седмица.
Полезните товари се генерират от персонализиран скрипт PowerShell от страна на сървъра и са уникални за всяка жертва въз основа на операционната система и държавата, като същевременно се доставят чрез фишинг имейли, които използват различни типове файлове.
BBTok е банков зловреден софтуер, базиран на Windows, който се появи за първи път през 2020 г. Той е оборудван с функции, които обхващат типичната гама троянски коне, като му позволяват да изброява и убива процеси, да издава отдалечени команди, да манипулира клавиатурата и да обслужва фалшиви страници за вход в банки, работещи в двете държави.
Самите вериги за атака са доста прости, като използват фалшиви връзки или прикачени файлове ZIP, за да разгърнат незабелязано банкера, извлечен от отдалечен сървър (216.250.251[.]196), докато показват на жертвата примамлив документ.
Но те също така са разнообразни както за системите с Windows 7, така и за Windows 10, като основно предприемат стъпки за избягване на новоприлаганите механизми за откриване, като например Antimalware Scan Interface (AMSI), който позволява сканиране на машината за всякакви заплахи.
Други два ключови метода за преминаване под радара са използването на двоични файлове, които са извън територията на страната (LOLBins), и проверките за геофенсинг, за да се гарантира, че целите са само от Бразилия или Мексико, преди да се сервира зловредният софтуер чрез скрипта PowerShell.
След като бъде стартиран, BBTok установява връзки с отдалечен сървър, за да получи команди за симулиране на страниците за проверка на сигурността на различни банки.
При имитирането на интерфейси на латиноамерикански банки целта е да се събере информация за удостоверенията и автентификацията, въведена от потребителите, за да се извърши превземане на онлайн банкови сметки.
„Забележителен е предпазливият подход на оператора: всички банкови дейности се изпълняват само при директна команда от неговия C2 сървър и не се извършват автоматично на всяка заразена система“, заяви компанията.
Анализът на зловредния софтуер, извършен от Check Point, разкрива значително подобрение на неговото замаскиране и насочване от 2020 г. насам, което се разширява отвъд мексиканските банки. Наличието на испански и португалски език в изходния код, както и във фишинг имейлите, предлага подсказка за произхода на нападателите.
Смята се, че повече от 150 потребители са били заразени от BBTok, въз основа на базата данни SQLite, открита в сървъра, хостващ компонента за генериране на полезен товар, който записва достъпа до зловредното приложение.
Насочеността и езикът сочат, че участниците в заплахата вероятно действат от Бразилия, която продължава да бъде епицентър на мощни зловредни програми с финансова насоченост.
„Въпреки че BBTok успя да остане под радара благодарение на неуловимите си техники и насочването си към жертви само в Мексико и Бразилия, очевидно е, че той все още се разгръща активно“, казват от Check Point.
„Благодарение на многобройните си възможности и на уникалния си и креативен метод за доставка, включващ LNK файлове, SMB и MSBuild, той все още представлява опасност за организациите и физическите лица в региона.“
Развитието идва в момент, когато израелската компания за киберсигурност подробно описа нова мащабна фишинг кампания, която наскоро е била насочена към над 40 известни компании от различни индустрии в Колумбия с крайна цел внедряване на Remcos RAT чрез многоетапна последователност на заразяване.
„Remcos, усъвършенстван RAT тип „швейцарско ножче“, предоставя на нападателите пълен контрол над заразения компютър и може да се използва при различни атаки. Често срещаните последици от заразяването с Remcos включват кражба на данни, последващи инфекции и превземане на акаунти“, казват от Check Point.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.