Egy aktív, Latin-Amerikát célzó malware kampány a BBTok nevű banki trójai új változatát terjeszti, különösen a brazil és mexikói felhasználókat célozva.
„A BBTok olyan dedikált funkcióval rendelkezik, amely több mint 40 mexikói és brazil bank felületét másolja le rendszeresen, és arra készteti az áldozatokat, hogy megadják a 2FA kódjukat” – írja a Check Point a héten közzétett kutatásában.
A payloadokat egy egyedi szerveroldali PowerShell script generálja, amelyek minden áldozatnál egyediek az operációs rendszer és az országkód függvényében, miközben adathalász e-maileken keresztül kerülnek kézbesítésre.
A BBTok egy Windows alapú banki kártevő, amely először 2020-ban bukkant fel. Olyan funkciókkal rendelkezik, mint folyamatok listázását és leállítását, távoli parancsok kiadását, a billentyűzet manipulálását és a két országban működő bankok hamis bejelentkezési oldalainak kiszolgálását. Hamis linkeket vagy ZIP csomagokat alkalmaznak, hogy telepítsék a távoli szerverről (216.250.251[.]196) a kártékony kódot.
„Ami figyelemre méltó, hogy minden banki tevékenységet csak a C2 szerveréről érkező közvetlen parancsra hajtanak végre, és nem minden fertőzött rendszeren hajtják végre automatikusan” – közölte a vállalat.
A Check Point elemzései szerint a kártevő program 2020 óta jelentős fejelsztésen ment keresztül az obfuszkáció és a célzott támadásmód tekintetében. A spanyol és portugál nyelv jelenléte a forráskódban, valamint az adathalász e-mailek tartalma utalást ad a támadók eredetére.
A becslések szerint eddig több mint 150 felhasználót fertőzött meg a BBTok.
