BBtok Trojan
BBtok Trojan er en ny bank malware-stamme, der hovedsagelig er blevet implementeret mod brugere i Mexico. Truslen udnytter en fileløs angrebstilgang til at kompromittere brugernes enheder. BBtok Trojan bruger til sin formeringsvektor phishing-e-mails, der bærer våbenbevægelser, der består af en komprimeret pakke, der leverer truende lnk-filer. E-mailen er designet til at virke så legitim som muligt, og de forsøger at narre modtageren til at starte de malware-laced lnk-filer, hvilket resulterer i udførelsen af et PowerShell-script.
Før den primære BBtok Trojan-komponent leveres til enheden, skal flere installationsfaser ryddes. Først når det første truende PowerShell-script er aktiveret, downloader det og udfører en Loader-nyttelast, der er skrevet i .Net. Loader anvender derefter vedvarende mekanisme for truslen ved at erstatte winmm.dll-filen i systemkataloget. På 64-bit arkitekturer udfører Loader-modulet også en antivirus-modforanstaltningsprocedure. Ved at udnytte open-source KDU (Kernel Driver Utility) forsøger den at slette registreringsdatabase poster af populære antivirus softwareløsninger ved at få adgang til vilkårlig kernehukommelse takket være den sårbare driver, der leveres af KDU.
Når BBtok Trojan implementeres på den kompromitterede enhed, opretter det et bagdørsmodul, der giver angriberne mulighed for at udføre forskellige truende operationer. Ved at modtage den passende kommando kan malware-truslen simulere og registrere tastatur- og mushandlinger, manipulere programvinduer, tælle alle processer og afslutte specificerede, erstatte udklipsholderens indhold, deaktivere DWM (Desktop Window Manager) osv.
Det primære mål for cyberkriminelle er imidlertid at indsamle de målrettede brugeres bankoplysninger gennem falske banksikkerhedsdetekteringsvinduer skabt af truslen. Hvis brugeren indtaster deres loginoplysninger i det viste vindue, høstes de og overføres til angriberens Command-and-Control-server. Adskillige pengeinstitutter fra regionen kan efterlignes af BBtok Trojan - Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex, BBVA og andre.
