Troyano BBtok
El troyano BBtok es una nueva cepa de malware bancario que se ha implementado principalmente contra usuarios en México. La amenaza aprovecha un enfoque de ataque sin archivos para comprometer los dispositivos de los usuarios. Para su vector de propagación, BBtok Trojan utiliza correos electrónicos de phishing que contienen archivos adjuntos armados que consisten en un paquete comprimido que entrega archivos lnk amenazantes. El correo electrónico está diseñado para parecer lo más legítimo posible, e intentan engañar al destinatario para que inicie los archivos lnk con malware, lo que da como resultado la ejecución de un script de PowerShell.
Antes de que el componente troyano BBtok principal se envíe al dispositivo, se deben borrar varias etapas de configuración. Primero, cuando se activa la secuencia de comandos de PowerShell amenazante inicial, descarga y ejecuta una carga útil de Loader escrita en .Net. Luego, el cargador implementa el mecanismo de persistencia de la amenaza sustituyendo el archivo winmm.dll en el directorio del sistema. En arquitecturas de 64 bits, el módulo Loader también ejecuta un procedimiento de contramedida antivirus. Al aprovechar la KDU de código abierto (Kernel Driver Utility), intenta eliminar las entradas de registro de las soluciones de software antivirus populares accediendo a la memoria del kernel arbitraria gracias al controlador vulnerable proporcionado por KDU.
Cuando se implementa en el dispositivo comprometido, BBtok Trojan establece un módulo de puerta trasera que brinda a los atacantes la capacidad de realizar varias operaciones amenazantes. Al recibir el comando apropiado, la amenaza de malware puede simular y registrar las operaciones del teclado y el mouse, manipular las ventanas del programa, enumerar todos los procesos y terminar los especificados, sustituir el contenido del portapapeles, deshabilitar DWM (Desktop Window Manager), etc.
Sin embargo, el objetivo principal de los ciberdelincuentes es recopilar las credenciales bancarias de los usuarios objetivo a través de ventanas falsas de detección de seguridad bancaria creadas por la amenaza. Si el usuario ingresa sus credenciales de inicio de sesión en la ventana que se muestra, se recopilarán y transmitirán al servidor de comando y control del atacante. Varias instituciones bancarias de la región pueden ser suplantadas por BBtok Trojan: Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex, BBVA y otras.
