Variante del troyano bancario BBTok apunta a más de 40 bancos latinoamericanos

Una campaña activa de malware dirigida a América Latina está distribuyendo una nueva variante de un troyano bancario llamado BBTok, particularmente usuarios en Brasil y México.

"El banquero BBTok tiene una funcionalidad dedicada que replica las interfaces de más de 40 bancos mexicanos y brasileños, y engaña a las víctimas para que ingresen su código 2FA en sus cuentas bancarias o en su número de tarjeta de pago", dijo Check Point en una investigación publicada esta semana.

Las cargas útiles son generadas por un script de PowerShell personalizado del lado del servidor y son únicas para cada víctima según el sistema operativo y el país, mientras que se entregan a través de correos electrónicos de phishing que aprovechan una variedad de tipos de archivos.

BBTok es un malware bancario basado en Windows que apareció por primera vez en 2020. Está equipado con características que ejecutan la gama típica de troyanos, lo que le permite enumerar y eliminar procesos, emitir comandos remotos, manipular el teclado y servir páginas de inicio de sesión falsas para los bancos que operan en los dos países.

Las cadenas de ataque en sí mismas son bastante sencillas, empleando enlaces falsos o archivos adjuntos ZIP para desplegar sigilosamente el banquero recuperado de un servidor remoto (216.250.251[.] 196) mientras mostraba un documento señuelo a la víctima.

Pero también están diversificados para los sistemas Windows 7 y Windows 10, principalmente tomando medidas para evadir los mecanismos de detección recientemente implementados, como la interfaz de escaneo antimalware (AMSI) que permite escanear la máquina en busca de amenazas.

Otros dos métodos clave para volar bajo el radar son el uso de binarios de vida fuera de la tierra (LOLBins) y controles de geofencing para garantizar que los objetivos sean solo de Brasil o México antes de servir el malware a través del script PowerShell.

Una vez lanzado, BBTok establece conexiones con un servidor remoto para recibir comandos para simular las páginas de verificación de seguridad para varios bancos.

Al hacerse pasar por las interfaces de los bancos latinoamericanos, el objetivo es recopilar la información de credenciales y autenticación ingresada por los usuarios para realizar adquisiciones de cuentas de las cuentas bancarias en línea.

"Lo que es notable es el enfoque cauteloso del operador: todas las actividades bancarias solo se ejecutan bajo comando directo de su servidor C2, y no se llevan a cabo automáticamente en todos los sistemas infectados", dijo la compañía.

El análisis de Check Point del malware ha revelado una mejora significativa en su ofuscación y focalización desde 2020, expandiéndose más allá de los bancos mexicanos. La presencia de español y portugués en el código fuente, así como en los correos electrónicos de phishing, ofrece una pista sobre el origen de los atacantes.

Se estima que más de 150 usuarios han sido infectados por BBTok, según una base de datos SQLite que se encuentra en el servidor que aloja el componente de generación de carga útil que registra el acceso a la aplicación maliciosa.

La orientación y el lenguaje apuntan a los actores de amenazas que probablemente operan fuera de Brasil, que sigue siendo el epicentro de un potente malware centrado en las finanzas.

"Aunque BBTok ha podido permanecer bajo el radar debido a sus técnicas esquivas y apuntando a las víctimas solo en México y Brasil, es evidente que todavía está desplegado activamente", dijo Check Point.

"Debido a sus muchas capacidades y su método de entrega único y creativo que involucra archivos LNK, SMB y MSBuild, todavía representa un peligro para las organizaciones e individuos en la región".

El desarrollo se produce cuando la compañía israelí de ciberseguridad detalló una nueva campaña de phishing a gran escala que recientemente se dirigió a más de 40 compañías prominentes en múltiples industrias en Colombia con el objetivo final de implementar Remcos RAT a través de una secuencia de infección de múltiples etapas.

"Remcos, una sofisticada RAT de 'navaja suiza', otorga a los atacantes el control total sobre la computadora infectada y puede usarse en una variedad de ataques. Las consecuencias comunes de una infección por Remcos incluyen el robo de datos, las infecciones de seguimiento y la adquisición de cuentas", dijo Check Point.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta