Il malware BBTok, rilevato per la prima volta nel 2020, è riapparso improvvisamente con una nuova versione che prende di mira principalmente gli utenti in America Latina.
Questo è il risultato di una ricerca portata avanti Check Point Research che, grazie al loro lavoro, hanno notato un miglioramento significativo nei TTP (tecniche, tattiche e procedure) rispetto allo stesso malware del 2020. BBTok, a quanto pare, ha ottenuto più livelli di offuscamento e un miglioramento del downloader.
Il malware bancario in questione, finora, ha colpito oltre 40 banche di Brasile e Messico, con centinaia di clienti vittime loro malgrado di tale campagna.
I cybercriminali, a quanto pare, agiscono attraverso l’invio di e-mail phishing ai clienti degli istituti per indurli a inserire i codici di autenticazione a due fattori dei loro conti bancari o a rivelare i numeri delle loro carte di credito.
Un collegamento dannoso contenuto nell’e-mail contiene un file .LNK che avvia la catena di infezione, distribuisce il malware e avvia un documento esca. Ulteriori indagini hanno rivelato che gli aggressori mantengono diverse catene di infezione per diverse versioni di Windows.
BBTok, il trojan bancario ha già colpito oltre 40 istituti bancari
Queste catene utilizzano molti tipi di estensioni file per distribuire malware, inclusi ISO, ZIP, LNK, DOCX, JS e XLL. Una caratteristica insolita relativa a questo attacco è che un’applicazione lato server personalizzata genera payload unici per ogni vittima dopo averne identificato la posizione e il sistema operativo.
Un malware che si “personalizza” in base a banca e cliente, che risulta dunque molto difficile da individuare. BBTok consente ai suoi operatori di eseguire comandi remoti e occupa quasi tutte le funzionalità dei tipici trojan bancari, oltre a replicare le interfacce delle banche dell’America Latina.
Queste interfacce false sono progettate in modo così accurato che le vittime non sono in grado di rilevare comportamenti scorretti e inseriscono senza troppe incertezze i loro codici di sicurezza o numeri di token per l’autenticazione. Quando ciò avviene, per gli aggressori è facile prendere il controllo dei conti bancari e delle relative carte.
Sebbene BBTok sia attivo solo nel contesto dell’America Latina, non significa che un attacco simile non si possa presentare presto anche nel vecchio continente. Tutto ciò dimostra come attenzione e prudenza non siano mai sufficienti rispetto alle tante minacce della rete.