Активная вредоносная кампания, нацеленная на Латинскую Америку, распространяет новый вариант банковского трояна под названием BBTok, особенно среди пользователей в Бразилии и Мексике.
"BBTok banker обладает специальной функциональностью, которая копирует интерфейсы более чем 40 мексиканских и бразильских банков и обманом заставляет жертв вводить его код 2FA на свои банковские счета или номер своей платежной карты", - говорится в исследовании Check Point, опубликованном на этой неделе.
Полезные файлы генерируются пользовательским серверным скриптом PowerShell и уникальны для каждой жертвы в зависимости от операционной системы и страны, а также доставляются с помощью фишинговых электронных писем, использующих различные типы файлов.
BBTok - это банковское вредоносное ПО на базе Windows, которое впервые появилось в 2020 году. Он оснащен функциями, которые запускают типичный набор функций трояна, позволяя ему перечислять и прерывать процессы, выдавать удаленные команды, манипулировать клавиатурой и предоставлять поддельные страницы входа в банки, работающие в двух странах.
Сами цепочки атак довольно просты, используя поддельные ссылки или вложения ZIP-файлов, чтобы незаметно внедрить banker, полученный с удаленного сервера (216.250.251[.]196), показывая жертве документ-приманку.
Но они также диверсифицированы как для систем Windows 7, так и для Windows 10, в основном предпринимая шаги для обхода недавно внедренных механизмов обнаружения, таких как Antivirus Scan Interface (AMSI), который позволяет сканировать компьютер на наличие любых угроз.
Два других ключевых метода, позволяющих скрыться от радаров, - это использование двоичных файлов, находящихся за пределами суши (LOLBins), и проверка геозоны, чтобы убедиться, что цели находятся только в Бразилии или Мексике, прежде чем запускать вредоносное ПО с помощью скрипта PowerShell.
После запуска BBTok устанавливает соединения с удаленным сервером для получения команд для имитации страниц проверки безопасности для различных банков.
Имитируя интерфейсы латиноамериканских банков, цель состоит в том, чтобы собирать учетные данные и аутентификационную информацию, введенные пользователями, для осуществления захвата учетных записей онлайн-банков.
"Примечателен осторожный подход оператора: все банковские операции выполняются только по прямой команде с его сервера C2 и не выполняются автоматически в каждой зараженной системе", - заявили в компании.
Проведенный Check Point анализ вредоносного ПО выявил значительное улучшение его маскировки и таргетирования с 2020 года, распространившееся за пределы мексиканских банков. Наличие испанского и португальского языков в исходном коде, а также в фишинговых электронных письмах дает представление о происхождении злоумышленников.
По оценкам BBTok, более 150 пользователей были заражены BBTok на основе базы данных SQLite, найденной на сервере, на котором размещен компонент генерации полезной нагрузки, который регистрирует доступ к вредоносному приложению.
Таргетинг и язык указывают на то, что субъекты угрозы, вероятно, действуют из Бразилии, которая продолжает оставаться эпицентром мощного вредоносного ПО финансовой направленности.
"Хотя BBTok удалось остаться незамеченным благодаря своим неуловимым методам и нацелиться на жертв только в Мексике и Бразилии, очевидно, что он все еще активно используется", - говорится в сообщении Check Point.
"Благодаря своим многочисленным возможностям и уникальному и креативному способу доставки, использующему файлы LNK, SMB и MSBuild, он по-прежнему представляет опасность для организаций и частных лиц в регионе".
Разработка происходит после того, как израильская компания по кибербезопасности подробно описала новую крупномасштабную фишинговую кампанию, которая недавно была нацелена на более чем 40 известных компаний из различных отраслей промышленности в Колумбии с конечной целью внедрения Remcos RAT посредством многоступенчатой последовательности заражения.
"Remcos, сложный "швейцарский армейский нож" RAT, предоставляет злоумышленникам полный контроль над зараженным компьютером и может использоваться в различных атаках. Распространенные последствия заражения Remcos включают кражу данных, последующие заражения и захват учетной записи ", - сказали в Check Point.
"BBTok banker обладает специальной функциональностью, которая копирует интерфейсы более чем 40 мексиканских и бразильских банков и обманом заставляет жертв вводить его код 2FA на свои банковские счета или номер своей платежной карты", - говорится в исследовании Check Point, опубликованном на этой неделе.
Полезные файлы генерируются пользовательским серверным скриптом PowerShell и уникальны для каждой жертвы в зависимости от операционной системы и страны, а также доставляются с помощью фишинговых электронных писем, использующих различные типы файлов.
BBTok - это банковское вредоносное ПО на базе Windows, которое впервые появилось в 2020 году. Он оснащен функциями, которые запускают типичный набор функций трояна, позволяя ему перечислять и прерывать процессы, выдавать удаленные команды, манипулировать клавиатурой и предоставлять поддельные страницы входа в банки, работающие в двух странах.
Сами цепочки атак довольно просты, используя поддельные ссылки или вложения ZIP-файлов, чтобы незаметно внедрить banker, полученный с удаленного сервера (216.250.251[.]196), показывая жертве документ-приманку.
Но они также диверсифицированы как для систем Windows 7, так и для Windows 10, в основном предпринимая шаги для обхода недавно внедренных механизмов обнаружения, таких как Antivirus Scan Interface (AMSI), который позволяет сканировать компьютер на наличие любых угроз.
Два других ключевых метода, позволяющих скрыться от радаров, - это использование двоичных файлов, находящихся за пределами суши (LOLBins), и проверка геозоны, чтобы убедиться, что цели находятся только в Бразилии или Мексике, прежде чем запускать вредоносное ПО с помощью скрипта PowerShell.
После запуска BBTok устанавливает соединения с удаленным сервером для получения команд для имитации страниц проверки безопасности для различных банков.
Имитируя интерфейсы латиноамериканских банков, цель состоит в том, чтобы собирать учетные данные и аутентификационную информацию, введенные пользователями, для осуществления захвата учетных записей онлайн-банков.
"Примечателен осторожный подход оператора: все банковские операции выполняются только по прямой команде с его сервера C2 и не выполняются автоматически в каждой зараженной системе", - заявили в компании.
Проведенный Check Point анализ вредоносного ПО выявил значительное улучшение его маскировки и таргетирования с 2020 года, распространившееся за пределы мексиканских банков. Наличие испанского и португальского языков в исходном коде, а также в фишинговых электронных письмах дает представление о происхождении злоумышленников.
По оценкам BBTok, более 150 пользователей были заражены BBTok на основе базы данных SQLite, найденной на сервере, на котором размещен компонент генерации полезной нагрузки, который регистрирует доступ к вредоносному приложению.
Таргетинг и язык указывают на то, что субъекты угрозы, вероятно, действуют из Бразилии, которая продолжает оставаться эпицентром мощного вредоносного ПО финансовой направленности.
"Хотя BBTok удалось остаться незамеченным благодаря своим неуловимым методам и нацелиться на жертв только в Мексике и Бразилии, очевидно, что он все еще активно используется", - говорится в сообщении Check Point.
"Благодаря своим многочисленным возможностям и уникальному и креативному способу доставки, использующему файлы LNK, SMB и MSBuild, он по-прежнему представляет опасность для организаций и частных лиц в регионе".
Разработка происходит после того, как израильская компания по кибербезопасности подробно описала новую крупномасштабную фишинговую кампанию, которая недавно была нацелена на более чем 40 известных компаний из различных отраслей промышленности в Колумбии с конечной целью внедрения Remcos RAT посредством многоступенчатой последовательности заражения.
"Remcos, сложный "швейцарский армейский нож" RAT, предоставляет злоумышленникам полный контроль над зараженным компьютером и может использоваться в различных атаках. Распространенные последствия заражения Remcos включают кражу данных, последующие заражения и захват учетной записи ", - сказали в Check Point.
