Nova variante do trojan bancário BBTok tem como alvo usuários de mais de 40 bancos na América Latina, especialmente no Brasil e no México. Pesquisadores da Check Point estão alertando sobre essa nova variante desse trojan bancário.
Nova variante do Trojan bancário BBTok
A nova campanha de malware depende de novas cadeias de infecção e emprega uma combinação única de Living off the Land Binaries (LOLBins). A campanha tem uma baixa taxa de detecção, embora o BBTok tenha aparecido pela primeira vez no cenário de ameaças em 2020. De acordo com os pesquisadores, o BBTokis tem como alvo principalmente usuários no Brasil e no México, empregando cercas geográficas em várias camadas para evitar infectar sistemas de outros países.
O banqueiro BBTok tem uma funcionalidade dedicada que replica as interfaces de mais de 40 bancos mexicanos e brasileiros e engana as vítimas para que insiram seu código 2FA em suas contas bancárias ou para que insiram o número do cartão de pagamento.
As cargas recém-identificadas são geradas por um aplicativo personalizado do lado do servidor, responsável por gerar cargas exclusivas para cada vítima com base no sistema operacional e na localização.
Check Point
O BBTok oferece suporte a um amplo conjunto de recursos, permite que as operadoras executem comandos remotamente e replique as interfaces de vários bancos latino-americanos, incluindo mais de 40 grandes bancos no México e no Brasil. A lista de bancos visados inclui Citibank, Scotibank, Banco Itaú e HSBC.
O malware exibe às vítimas uma interface falsa que se faz passar por bancos legítimos e é projetada para enganar os usuários dos bancos visados, fazendo-os fornecer suas informações pessoais e financeiras, incluindo códigos 2FA.
O BBTok é escrito em Delphi e usa a Visual Component Library (VCL) para gerar interfaces dinamicamente. De acordo com os pesquisadores, um script PowerShell personalizado no lado do servidor gera cargas exclusivas para cada vítima. A carga está sendo entregue por meio de e-mails de phishing que usam vários tipos de arquivo.
O phishing
As mensagens de phishing incluem um link malicioso. Ao clicar no link, resulta no download de um arquivo ZIP ou de uma imagem ISO, dependendo do sistema operacional da máquina da vítima. As cadeias de ataque são diferentes para os sistemas Windows 7 e Windows 10 e são projetadas para evitar medidas de segurança como Antimalware Scan Interface (AMSI).
O que é notável é a abordagem cautelosa do operador: todas as atividades bancárias só são executadas mediante comando direto do seu servidor C2 e não são realizadas automaticamente em todos os sistemas infectados.
Embora o BBTok tenha conseguido permanecer fora do radar devido às suas técnicas evasivas e visando vítimas apenas no México e no Brasil, é evidente que ele ainda está ativamente implantado. Devido às suas muitas capacidades e ao seu método de entrega único e criativo envolvendo arquivos LNK, SMB e MSBuild, ainda representa um perigo para organizações e indivíduos na região.