Uma campanha de malware direcionada à América Latina está distribuindo uma nova variante de um trojan chamado BBTok, especialmente usuários no Brasil e no México.
“O banqueiro BBTok tem uma funcionalidade dedicada que replica as interfaces de mais de 40 bancos mexicanos e brasileiros e engana as vítimas para inserirem seu código 2FA em suas contas bancárias ou para inserirem o número do cartão de crédito”, disse a Check Point em pesquisa publicada esta semana.
As cargas são geradas por um script PowerShell personalizado no lado do servidor e são exclusivas para cada vítima com base no sistema operacional e no país, enquanto são entregues por meio de e-mails de phishing que utilizam uma variedade de tipos de arquivos.
BBTok é um malware bancário baseado em Windows que surgiu pela primeira vez em 2020. Ele é equipado com recursos que executam a gama típica de trojan, permitindo enumerar e eliminar processos, emitir comandos remotos, manipular teclado e fornecer páginas de login falsas para bancos que operam nos dois países.
Os tipos de ataque são bastante simples, empregando links falsos ou arquivos ZIP para instalar de forma silenciosa o trojan enquanto exibe um documento falso para a vítima.
Existem diversas variantes para diferentes tipos de sistemas operacionais como Windows 7 e Windows 10. O nível de sofisticação do Trojan é tão grande que ele detecta máquinas que tenha instalado recentemente soluções de proteção como o Antimalware Scan Interface (AMSI), que permite verificar a máquina em busca de quaisquer ameaças.
Dois outros métodos importantes para passar despercebidos são o uso de binários Living-off-the-land (LOLBins) e verificações de geofencing para garantir que os alvos sejam apenas do Brasil ou do México antes de veicular o malware por meio do script PowerShell.
Uma vez lançado, o BBTok estabelece conexões com um servidor remoto para receber comandos para simular as páginas de verificação de segurança de diversos bancos.
Ao personificar as interfaces dos bancos latino-americanos, o objetivo é coletar informações de credenciais e autenticação inseridas pelos usuários para realizar o controle de contas bancárias on-line.
“O que é notável é a abordagem cautelosa da operadora: todas as atividades bancárias só são executadas sob comando direto do seu servidor C2 e não são realizadas automaticamente em todos os sistemas infectados”, disse a Checkp Point.
A análise do malware pela Check Point revelou uma melhoria significativa na sua ofuscação e direcionamento desde 2020, expandindo-se para além dos bancos mexicanos. A presença dos idiomas espanhol e português no código-fonte, bem como nos e-mails de phishing, oferece uma pista sobre a origem dos invasores.
Estima-se que mais de 150 usuários tenham sido infectados pelo BBTok, com base em um banco de dados SQLite encontrado no servidor que hospeda o componente de geração de carga útil que registra o acesso ao aplicativo malicioso.
A segmentação e a linguagem apontam para os atores da ameaça que provavelmente operam fora do Brasil, que continua a ser o epicentro de malware potente com foco financeiro.
“Embora o BBTok tenha conseguido permanecer fora do radar devido às suas técnicas evasivas e visando vítimas apenas no México e no Brasil, é evidente que ele ainda está em constante atividade”, disse Check Point.
"Devido às suas muitas capacidades e ao seu método de entrega único e criativo envolvendo arquivos LNK, SMB e MSBuild, ainda representa um perigo para organizações e indivíduos na região."
O desenvolvimento ocorre no momento em que a empresa israelense de segurança cibernética detalha uma nova campanha de phishing em grande escala que recentemente teve como alvo mais de 40 empresas proeminentes em vários setores na Colômbia, com o objetivo final de implantar o Remcos RAT por meio de uma sequência de infecção em vários estágios.
"Remcos, um sofisticado RAT 'canivete suíço', concede aos invasores controle total sobre o computador infectado e pode ser usado em uma variedade de ataques. As consequências comuns de uma infecção por Remcos incluem roubo de dados, infecções subsequentes e controle de contas", disse a Check Point.
Comentários