银行木马 BBTok 新变种针对 40 多家拉丁美洲银行

针对拉丁美洲的活跃恶意软件活动正在传播一种名为BBTok的银行木马新变种，特别是巴西和墨西哥的用户。

Check Point在发表的研究中表示：“BBTok 银行家有一个专用功能，可以复制 40 多家墨西哥和巴西银行的界面，并诱骗受害者将其 2FA 代码输入到他们的银行账户或输入他们的支付卡号。”星期。

有效负载由自定义服务器端 PowerShell 脚本生成，并且根据操作系统和国家/地区对于每个受害者来说都是唯一的，同时通过利用各种文件类型的网络钓鱼电子邮件进行传递。

BBTok 是一种基于 Windows 的银行恶意软件，于 2020 年首次出现。它配备了运行典型木马范围的功能，使其能够枚举和终止进程、发出远程命令、操纵键盘以及为在银行中运营的银行提供虚假登录页面。 2个国家。

攻击链本身相当简单，使用虚假链接或 ZIP 文件附件来秘密部署从远程服务器 (216.250.251[.]196) 检索到的银行家，同时向受害者显示诱饵文档。

但它们对于 Windows 7 和 Windows 10 系统来说也是多样化的，主要是采取措施逃避新实施的检测机制，例如允许扫描机器是否存在任何威胁的反恶意软件扫描接口 ( AMSI )。

躲避雷达的另外两个关键方法是使用离地二进制文件 (LOLBins) 和地理围栏检查，以确保在通过 PowerShell 脚本提供恶意软件之前目标仅来自巴西或墨西哥。

一旦启动，BBTok 就会与远程服务器建立连接以接收命令来模拟各个银行的安全验证页面。

在模仿拉丁美洲银行的界面时，目标是获取用户输入的凭据和身份验证信息，以对在线银行帐户进行帐户接管。

该公司表示：“值得注意的是运营商的谨慎态度：所有银行活动仅根据其 C2 服务器的直接命令执行，并且不会在每个受感染的系统上自动执行。”

Check Point 对恶意软件的分析显示，自 2020 年以来，其混淆和目标定位有了显着改进，范围已扩展到墨西哥银行以外的地区。源代码以及网络钓鱼电子邮件中存在西班牙语和葡萄牙语，这为攻击者的来源提供了线索。

根据在托管有效负载生成组件的服务器中发现的 SQLite 数据库（记录对恶意应用程序的访问情况），估计有超过 150 个用户已被 BBTok 感染。

目标和语言指向可能在巴西境外活动的威胁行为者，巴西仍然是强大的以金融为重点的恶意软件的中心。

Check Point 表示：“尽管 BBTok 因其难以捉摸的技术且仅针对墨西哥和巴西的受害者而一直处于人们的关注之下，但很明显它仍在积极部署。”

“由于它的多种功能，以及涉及 LNK 文件、SMB 和 MSBuild 的独特且创造性的交付方法，它仍然对该地区的组织和个人构成危险。”

与此同时，这家以色列网络安全公司详细介绍了一项新的大规模网络钓鱼活动，该活动最近针对哥伦比亚多个行业的 40 多家知名公司，最终目标是通过多阶段感染序列部署 Remcos RAT。

“Remcos 是一种复杂的‘瑞士军刀’RAT，它使攻击者能够完全控制受感染的计算机，并可用于各种攻击。Remcos 感染的常见后果包括数据盗窃、后续感染和帐户接管，”检查点说道。