Активна кампания за зловреден софтуер, насочена към Латинска Америка, разпространява нов вариант на банков троянски кон, наречен BBTok, по-специално сред потребителите в Бразилия и Мексико.

„Банковият троянец BBTok разполага със специална функционалност, която възпроизвежда интерфейсите на повече от 40 мексикански и бразилски банки и подмамва жертвите да въведат неговия 2FA код към банковите си сметки или да въведат номера на платежната си карта“, казва Check Point в изследване, публикувано тази седмица.

Полезните товари се генерират от персонализиран скрипт PowerShell от страна на сървъра и са уникални за всяка жертва въз основа на операционната система и държавата, като същевременно се доставят чрез фишинг имейли, които използват различни типове файлове.

BBTok е банков зловреден софтуер, базиран на Windows, който се появи за първи път през 2020 г. Той е оборудван с функции, които обхващат типичната гама троянски коне, като му позволяват да изброява и убива процеси, да издава отдалечени команди, да манипулира клавиатурата и да обслужва фалшиви страници за вход в банки, работещи в двете държави.

Самите вериги за атака са доста прости, като използват фалшиви връзки или прикачени файлове ZIP, за да разгърнат незабелязано банкера, извлечен от отдалечен сървър (216.250.251[.]196), докато показват на жертвата примамлив документ.

Но те също така са разнообразни както за системите с Windows 7, така и за Windows 10, като основно предприемат стъпки за избягване на новоприлаганите механизми за откриване, като например Antimalware Scan Interface (AMSI), който позволява сканиране на машината за всякакви заплахи.

Други два ключови метода за преминаване под радара са използването на двоични файлове, които са извън територията на страната (LOLBins), и проверките за геофенсинг, за да се гарантира, че целите са само от Бразилия или Мексико, преди да се сервира зловредният софтуер чрез скрипта PowerShell.

След като бъде стартиран, BBTok установява връзки с отдалечен сървър, за да получи команди за симулиране на страниците за проверка на сигурността на различни банки.

При имитирането на интерфейси на латиноамерикански банки целта е да се събере информация за удостоверенията и автентификацията, въведена от потребителите, за да се извърши превземане на онлайн банкови сметки.

„Забележителен е предпазливият подход на оператора: всички банкови дейности се изпълняват само при директна команда от неговия C2 сървър и не се извършват автоматично на всяка заразена система“, заяви компанията.

Анализът на зловредния софтуер, извършен от Check Point, разкрива значително подобрение на неговото замаскиране и насочване от 2020 г. насам, което се разширява отвъд мексиканските банки. Наличието на испански и португалски език в изходния код, както и във фишинг имейлите, предлага подсказка за произхода на нападателите.

Смята се, че повече от 150 потребители са били заразени от BBTok, въз основа на базата данни SQLite, открита в сървъра, хостващ компонента за генериране на полезен товар, който записва достъпа до зловредното приложение.

Насочеността и езикът сочат, че участниците в заплахата вероятно действат от Бразилия, която продължава да бъде епицентър на мощни зловредни програми с финансова насоченост.

„Въпреки че BBTok успя да остане под радара благодарение на неуловимите си техники и насочването си към жертви само в Мексико и Бразилия, очевидно е, че той все още се разгръща активно“, казват от Check Point.

„Благодарение на многобройните си възможности и на уникалния си и креативен метод за доставка, включващ LNK файлове, SMB и MSBuild, той все още представлява опасност за организациите и физическите лица в региона.“

Развитието идва в момент, когато израелската компания за киберсигурност подробно описа нова мащабна фишинг кампания, която наскоро е била насочена към над 40 известни компании от различни индустрии в Колумбия с крайна цел внедряване на Remcos RAT чрез многоетапна последователност на заразяване.

„Remcos, усъвършенстван RAT тип „швейцарско  ножче“, предоставя на нападателите пълен контрол над заразения компютър и може да се използва при различни атаки. Често срещаните последици от заразяването с Remcos включват кражба на данни, последващи инфекции и превземане на акаунти“, казват от Check Point.

Източник: The Hacker News

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
Бъдете социални
Още по темата
21/01/2025

ИИ в киберсигурността: 20 г...

Изкуственият интелект се превърна в ключов...
17/01/2025

DORA: Провеждане на тестове...

Международният валутен фонд изчислява, че през...
17/01/2025

CISO работят по-усилено от ...

CISO съобщават, че обхватът на тяхната...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!