Nedavno otkriće Check Point-a iznijelo je na vidjelo tekuću operaciju koja uključuje varijantu bankarskog malicioznog softvera BBTok u Latinskoj Americi. Ova konkretna varijanta, prvi put predstavljena još 2020. godine, imitira korisnički interfejs desetina latinoameričkih banaka.
Uronimo u detalje
BBTok malware predstavlja žrtvama lažne interfejse koji se maskiraju kao autentični bankarski portali za više od 40 istaknutih banaka u Meksiku i Brazilu.
- Ovaj spisak ciljanih banaka uključuje Citibank, Scotibank, Banco Itaú i HSBC.
- Ovi interfejsi su pažljivo osmišljeni kako bi zavarali žrtve da otkriju svoje lične i finansijske podatke, uključujući njihove 2FA kodove.
Modus operandi
- Prema istraživačima, prilagođena PowerShell skripta na strani servera je odgovorna za kreiranje različitih payloada prilagođenih svakom cilju.
- Ovi korisni podaci se distribuišu putem phishing e-poruka koristeći različite formate datoteka.
- Poruke za krađu identiteta sadrže zlonamjernu vezu, kada se klikne, preuzima ili ZIP arhivu ili ISO sliku, ovisno o operativnom sistemu koji radi na uređaju žrtve.
Važno je napomenuti da se strategije napada razlikuju između Windows 7 i Windows 10 sistema. Pažljivo su dizajnirani da zaobiđu sigurnosne mjere kao što je Antimalware Scan Interface (AMSI).
Ko stoji iza napada?
Nakon ispitivanja elementa na strani servera, Check Point je pronašao bazu podataka pod nazivom “links.sqlite.” Ova baza podataka sadrži preko 150 različitih unosa, od kojih svaki odgovara zaglavljima tabele koje je uspostavio “db.php.” Konkretno, sadržaj je na portugalskom, što snažno ukazuje na veliku vjerovatnoću da su hakerikoji stoje iza ovoga brazilskog porijekla.
Zaključak
Iako je BBTok uspio izbjeći otkrivanje, zahvaljujući svojim mogućnostima izbjegavanja otkrivanja i fokusiranju isključivo na žrtve u Meksiku i Brazilu, jasno je da je još uvijek u aktivnoj upotrebi. S obzirom na brojne funkcionalnosti i karakterističan i inovativan pristup isporuci koristeći LNK datoteke, SMB i MSBuild, on i dalje predstavlja prijetnju kako organizacijama tako i pojedincima u regiji.
Izvor: Cyware Alerts – Hacker News
