Threat Database Trojans BBtok Trojan

BBtok Trojan

De BBtok Trojan is een nieuwe malware-stam die voornamelijk is ingezet tegen gebruikers in Mexico. De dreiging maakt gebruik van een bestandsloze aanvalsbenadering om de apparaten van gebruikers in gevaar te brengen. Voor zijn verspreidingsvector gebruikt BBtok Trojan phishing-e-mails met bewapende bijlagen die bestaan uit een gecomprimeerd pakket dat bedreigende lnk-bestanden levert. De e-mail is ontworpen om zo legitiem mogelijk over te komen en ze proberen de ontvanger te misleiden om de met malware besmeurde lnk-bestanden te starten, wat resulteert in de uitvoering van een PowerShell-script.

Voordat de belangrijkste BBtok Trojan-component op het apparaat wordt afgeleverd, moeten verschillende installatiefasen worden gewist. Ten eerste, wanneer het aanvankelijke bedreigende PowerShell-script wordt geactiveerd, downloadt het en voert het een Loader-payload uit die is geschreven in .Net. De lader zet vervolgens het persistentiemechanisme van de dreiging in door het bestand winmm.dll in de systeemdirectory te vervangen. Op 64-bits architecturen voert de Loader-module ook een anti-virus tegenmaatregel uit. Door gebruik te maken van de open-source KDU (Kernel Driver Utility), probeert het de registervermeldingen van populaire antivirussoftwareoplossingen te verwijderen door toegang te krijgen tot willekeurig kernelgeheugen dankzij het kwetsbare stuurprogramma van KDU.

Wanneer BBtok Trojan wordt ingezet op het gecompromitteerde apparaat, zet het een achterdeurmodule op die de aanvallers de mogelijkheid geeft om verschillende bedreigende operaties uit te voeren. Door de juiste opdracht te ontvangen, kan de malwarebedreiging toetsenbord- en muisbewerkingen simuleren en opnemen, programmavensters manipuleren, alle processen opsommen en gespecificeerde beëindigen, de inhoud van het klembord vervangen, DWM (Desktop Window Manager) uitschakelen, enz.

Het belangrijkste doel van de cybercriminelen is echter om de bankreferenties van de beoogde gebruikers te verzamelen via valse beveiligingsdetectievensters voor banken die door de dreiging zijn gecreëerd. Als de gebruiker zijn inloggegevens invoert in het weergegeven venster, worden deze verzameld en verzonden naar de Command-and-Control-server van de aanvaller. Verschillende bankinstellingen uit de regio kunnen worden nagebootst door BBtok Trojan - Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex, BBVA en anderen.

Trending

Meest bekeken

Bezig met laden...