Μια νέα παραλλαγή του banking trojan BBTok στοχεύει χρήστες περίπου 40 τραπεζών στη Λατινική Αμερική, ιδιαίτερα στη Βραζιλία και το Μεξικό. Η νέα παραλλαγή ανακαλύφθηκε από ερευνητές της Check Point.
Η κακόβουλη εκστρατεία βασίζεται σε νέες αλυσίδες μόλυνσης και χρησιμοποιεί έναν μοναδικό συνδυασμό Living off the Land Binaries (LOLBins). Αν και το BBTok banking trojan εμφανίστηκε για πρώτη φορά το 2020, η νέα καμπάνια έχει χαμηλό ποσοστό ανίχνευσης.
Οι ερευνητές ανέφεραν ότι το BBTok στοχεύει κυρίως χρήστες στη Βραζιλία και το Μεξικό, χρησιμοποιώντας διάφορα μέτρα γεωγραφικού εντοπισμού, για την αποφυγή μόλυνσης συστημάτων από άλλες χώρες.
Δείτε επίσης: Οι Stealth Falcon hackers χρησιμοποιούν το νέο Deadglyph malware
Σύμφωνα με την έκθεση των ερευνητών, το BBTok έχει πολλές δυνατότητες και επιτρέπει στους επιτιθέμενους να εκτελούν εντολές εξ αποστάσεως, ενώ μιμείται τις διεπαφές των sites πολλών τραπεζών της Λατινικής Αμερικής (πάνω από 40 μεγάλες τράπεζες στο Μεξικό και τη Βραζιλία). Η λίστα των στοχευόμενων τραπεζών περιλαμβάνει τις Citibank, Scotibank, Banco Itaú και HSBC.
Η ψεύτικη διεπαφή έχει σχεδιαστεί με τέτοιο τρόπο, ώστε να εξαπατά τους χρήστες των στοχευόμενων τραπεζών για να παρέχουν τις προσωπικές και οικονομικές τους πληροφορίες, συμπεριλαμβανομένων των κωδικών 2FA.
Το BBTok είναι γραμμένο σε Delphi και χρησιμοποιεί το Visual Component Library (VCL) για τη δημιουργία διεπαφών.
Δείτε επίσης: Οι Sandman hackers στοχεύουν εταιρείες τηλεπικοινωνιών με το LuaDream malware
Οι ερευνητές ανέφεραν ότι ένα custom server-side PowerShell script δημιουργεί μοναδικά payloads για κάθε θύμα. Το payload παραδίδεται μέσω phishing emails. Έτσι γίνεται η αρχική μόλυνση. Τα emails περιλαμβάνουν έναν κακόβουλο σύνδεσμο. Κάνοντας κλικ στον σύνδεσμο, το θύμα κάνει λήψη είτε αρχείου ZIP είτε μιας εικόνας ISO (ανάλογα με το λειτουργικό σύστημα της συσκευής του θύματος).
Οι αλυσίδες επίθεσης διαφέρουν τόσο για τα συστήματα Windows 7 όσο και για τα Windows 10 και έχουν σχεδιαστεί για να αποφεύγουν μέτρα ασφαλείας όπως το Antimalware Scan Interface (AMSI).
“Αυτό που είναι αξιοσημείωτο είναι η προσεκτική προσέγγιση του χειριστή: όλες οι τραπεζικές δραστηριότητες εκτελούνται μόνο κατόπιν άμεσης εντολής από τον διακομιστή C2 και δεν εκτελούνται αυτόματα σε κάθε μολυσμένο σύστημα“, αναφέρει η έκθεση.
Η ανάλυση του server-side component αποκάλυψε την παρουσία της βάσης δεδομένων “links.sqlite”. Η βάση δεδομένων περιλαμβάνει περισσότερες από 150 μοναδικές εγγραφές (χρήστες που έχουν μολυνθεί από το BBTok). Το περιεχόμενο είναι στα πορτογαλικά, κάτι που υποδηλώνει ότι οι επιτιθέμενοι είναι μάλλον Βραζιλιάνοι.
Δείτε επίσης: Η αύξηση του malware κινεζικής γλώσσας θα «απειλήσει» τη ρωσική κυριαρχία στο κυβερνοέγκλημα;
Δεδομένου, ότι η αρχική μόλυνση γίνεται μέσω phishing emails, είναι σημαντικό να ακολουθείτε κάποια βασικά μέτρα προστασίας. Πρώτον, πρέπει να ενημερώνετε τακτικά τα λειτουργικά σας συστήματα και τις εφαρμογές σας, προκειμένου να διορθώνετε πιθανά κενά ασφαλείας. Δεύτερον, πρέπει να είστε εξαιρετικά προσεκτικοί με τα ηλεκτρονικά σας μηνύματα. Δεν πρέπει να ανοίγετε σύνδεσμους ή να κατεβάζετε συνημμένα από άγνωστες πηγές. Τρίτον, είναι σημαντικό να χρησιμοποιείτε διαφορετικούς κωδικούς πρόσβασης για κάθε λογαριασμό και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όπου είναι διαθέσιμος.
Πηγή: securityaffairs.com
