Una campaña activa de malware dirigida a América Latina está distribuyendo una nueva variante de un troyano bancario llamado BBTok , particularmente a usuarios de Brasil y México.
«El banquero BBTok tiene una funcionalidad dedicada que replica las interfaces de más de 40 bancos mexicanos y brasileños, y engaña a las víctimas para que ingresen su código 2FA en sus cuentas bancarias o para que ingresen su número de tarjeta de pago», dijo Check Point en una investigación publicada este semana.
Las cargas útiles se generan mediante un script de PowerShell personalizado del lado del servidor y son únicas para cada víctima según el sistema operativo y el país, y se envían a través de correos electrónicos de phishing que aprovechan una variedad de tipos de archivos.
BBTok es un malware bancario basado en Windows que apareció por primera vez en 2020. Está equipado con funciones que ejecutan la gama troyana típica, lo que le permite enumerar y eliminar procesos, emitir comandos remotos, manipular el teclado y ofrecer páginas de inicio de sesión falsas para los bancos que operan en el dos países.
Las cadenas de ataque en sí son bastante sencillas y emplean enlaces falsos o archivos adjuntos ZIP para implementar sigilosamente el banquero recuperado de un servidor remoto (216.250.251[.]196) mientras se muestra un documento señuelo a la víctima.
Pero también están diversificados para los sistemas Windows 7 y Windows 10, y principalmente toman medidas para evadir los mecanismos de detección recientemente implementados, como la Interfaz de escaneo antimalware ( AMSI ), que permite escanear la máquina en busca de amenazas.
Otros dos métodos clave para pasar desapercibidos son el uso de binarios que viven fuera de la tierra (LOLBins) y comprobaciones de geofencing para garantizar que los objetivos sean sólo de Brasil o México antes de distribuir el malware a través del script de PowerShell.
Una vez iniciado, BBTok establece conexiones con un servidor remoto para recibir comandos para simular las páginas de verificación de seguridad de varios bancos.
Al suplantar las interfaces de los bancos latinoamericanos, el objetivo es recopilar información de credenciales y autenticación ingresada por los usuarios para realizar apropiaciones de cuentas bancarias en línea.
«Lo que es notable es el enfoque cauteloso del operador: todas las actividades bancarias sólo se ejecutan mediante orden directa desde su servidor C2 y no se llevan a cabo automáticamente en cada sistema infectado», dijo la compañía.
El análisis del malware realizado por Check Point ha revelado una mejora significativa en su ofuscación y orientación desde 2020, expandiéndose más allá de los bancos mexicanos. La presencia de los idiomas español y portugués en el código fuente, así como en los correos electrónicos de phishing, ofrece una pista sobre el origen de los atacantes.
Se estima que BBTok infectó a más de 150 usuarios, según una base de datos SQLite encontrada en el servidor que aloja el componente de generación de carga útil que registra el acceso a la aplicación maliciosa.
El objetivo y el lenguaje apuntan a que los actores de amenazas probablemente operen desde Brasil, que sigue siendo el epicentro de un potente malware centrado en las finanzas.
«Aunque BBTok ha podido permanecer fuera del radar debido a sus técnicas esquivas y a apuntar a víctimas sólo en México y Brasil, es evidente que todavía está desplegado activamente», dijo Check Point.
«Debido a sus muchas capacidades y su método de entrega único y creativo que involucra archivos LNK, SMB y MSBuild, todavía representa un peligro para las organizaciones e individuos de la región».
El desarrollo se produce cuando la compañía israelí de ciberseguridad detalló una nueva campaña de phishing a gran escala que recientemente se dirigió a más de 40 empresas prominentes en múltiples industrias en Colombia con el objetivo final de implementar Remcos RAT a través de una secuencia de infección de múltiples etapas.
«Remcos, una sofisticada RAT ‘navaja suiza’, otorga a los atacantes control total sobre la computadora infectada y puede usarse en una variedad de ataques. Las consecuencias comunes de una infección Remcos incluyen robo de datos, infecciones de seguimiento y apropiación de cuentas». Punto de control dijo.
Fuente y redacción: thehackernews.com