BBtok Trojan
Il BBtok Trojan è un nuovo ceppo di malware bancario che è stato distribuito principalmente contro gli utenti in Messico. La minaccia sfrutta un approccio di attacco senza file per compromettere i dispositivi degli utenti. Per il suo vettore di propagazione, BBtok Trojan utilizza e-mail di phishing che trasportano allegati armati costituiti da un pacchetto compresso che fornisce minacciosi file lnk. L'e-mail è progettata per apparire il più legittima possibile e tenta di indurre il destinatario ad avviare i file lnk contenenti malware con conseguente esecuzione di uno script di PowerShell.
Prima che il componente principale di BBtok Trojan venga consegnato al dispositivo, è necessario cancellare diverse fasi di configurazione. Innanzitutto, quando lo script di PowerShell minaccioso iniziale viene attivato, scarica ed esegue un payload Loader scritto in .Net. Il programma di caricamento implementa quindi il meccanismo di persistenza della minaccia sostituendo il file winmm.dll nella directory di sistema. Sulle architetture a 64 bit, il modulo Loader esegue anche una procedura di contromisura antivirus. Sfruttando la KDU (Kernel Driver Utility) open-source, tenta di eliminare le voci di registro delle soluzioni software antivirus più diffuse accedendo alla memoria del kernel arbitraria grazie al driver vulnerabile fornito da KDU.
Quando viene distribuito sul dispositivo compromesso, BBtok Trojan stabilisce un modulo backdoor che offre agli aggressori la possibilità di eseguire varie operazioni minacciose. Ricevendo il comando appropriato, la minaccia malware può simulare e registrare le operazioni della tastiera e del mouse, manipolare le finestre dei programmi, enumerare tutti i processi e terminare quelli specificati, sostituire il contenuto degli appunti, disabilitare DWM (Desktop Window Manager), ecc.
L'obiettivo principale dei cybercriminali, tuttavia, è raccogliere le credenziali bancarie degli utenti presi di mira attraverso false finestre di rilevamento della sicurezza bancaria create dalla minaccia. Se l'utente inserisce le proprie credenziali di accesso nella finestra visualizzata, verranno raccolte e trasmesse al server Command-and-Control dell'attaccante. Diversi istituti bancari della regione possono essere impersonati da BBtok Trojan - Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex, BBVA e altri.
