Una campagna malware attiva mirata all’America Latina sta diffondendo una nuova variante di un trojan bancario chiamato BBTok, in particolare gli utenti in Brasile e Messico. Secondo una ricerca pubblicata questa settimana da Check Point, il trojan BBTok ha una funzionalità dedicata che replica le interfacce di oltre 40 banche messicane e brasiliane, ingannando le vittime affinché inseriscano il loro codice 2FA nei loro conti bancari o forniscano il numero della loro carta di pagamento.
Caratteristiche del trojan BBTok
BBTok è un malware bancario basato su Windows che è emerso per la prima volta nel 2020. È dotato di funzionalità che gli permettono di enumerare e terminare processi, emettere comandi remoti, manipolare la tastiera e presentare false pagine di accesso per le banche operanti nei due paesi. Le catene di attacco sono piuttosto dirette, utilizzando link fasulli o allegati ZIP per distribuire furtivamente il trojan, mentre viene mostrato un documento di diversivo alla vittima.
Metodi di evasione
Sono state adottate misure per evadere nuovi meccanismi di rilevamento come l’Antimalware Scan Interface (AMSI). Due metodi chiave per rimanere sotto il radar sono l’uso di binari living-off-the-land (LOLBins) e controlli di geofencing per assicurarsi che i bersagli provengano solo dal Brasile o dal Messico prima di servire il malware tramite lo script PowerShell.
Obiettivo del trojan
Una volta avviato, BBTok stabilisce connessioni con un server remoto per ricevere comandi per simulare le pagine di verifica di sicurezza per varie banche. Imitando le interfacce delle banche latinoamericane, l’obiettivo è raccogliere le informazioni di autenticazione inserite dagli utenti per effettuare prese di controllo degli account bancari online.
Approccio cauto dell’operatore
Ciò che è notevole è l’approccio cauto dell’operatore: tutte le attività bancarie vengono eseguite solo su comando diretto dal suo server C2 e non vengono eseguite automaticamente su ogni sistema infetto. L’analisi di Check Point sul malware ha rivelato un notevole miglioramento nella sua offuscamento e targeting dal 2020, espandendosi oltre le banche messicane.
Origine degli attaccanti
La presenza di lingua spagnola e portoghese nel codice sorgente e nelle email di phishing offre un indizio sull’origine degli attaccanti. Si stima che più di 150 utenti siano stati infettati da BBTok, basandosi su un database SQLite trovato nel server che ospita il componente di generazione del payload.
Sebbene BBTok sia riuscito a rimanere sotto il radar grazie alle sue tecniche elusive e mirando solo vittime in Messico e Brasile, è evidente che è ancora attivamente distribuito. A causa delle sue molte capacità, e del suo metodo di consegna unico e creativo, rappresenta ancora un pericolo per le organizzazioni e gli individui nella regione.