Threat Database Trojans BBtok Trojan

BBtok Trojan

O Trojan BBtok é um novo tipo de malware bancário que foi implantada principalmente contra usuários no México. A ameaça utiliza uma abordagem de ataque sem arquivo para comprometer os dispositivos dos usuários. Para o seu vetor de propagação, o Trojan BBtok usa e-mails de phishing com anexos armados que consistem em um pacote compactado que entrega arquivos lnk ameaçadores. O email foi projetado para parecer o mais legítimo possível e eles tentam enganar o destinatário para que ele inicie os arquivos lnk com malware, resultando na execução de um script do PowerShell.

Antes que o componente principal do Trojan BBtok seja entregue ao dispositivo, vários estágios de configuração devem ser eliminados. Primeiro, quando o script de ameaça inicial do PowerShell é ativado, ele baixa e executa uma carga útil do Loader escrita em .Net. O Loader então implanta o mecanismo de persistência da ameaça substituindo o arquivo winmm.dll no diretório do sistema. Em arquiteturas de 64 bits, o módulo Loader também executa um procedimento de contramedida anti-vírus. Aproveitando o KDU (Kernel Driver Utility) de código aberto, ele tenta excluir as entradas do registro de soluções de software antivírus populares acessando a memória do kernel arbitrária graças ao driver vulnerável fornecido pelo KDU.

Quando implantado no dispositivo comprometido, o Trojan BBtok estabelece um módulo de backdoor que dá aos invasores a capacidade de realizar várias operações ameaçadoras. Ao receber o comando apropriado, a ameaça de malware pode simular e registrar operações de teclado e mouse, manipular janelas de programas, enumerar todos os processos e encerrar os especificados, substituir o conteúdo da área de transferência, desabilitar DWM (Desktop Window Manager), etc.

O principal objetivo dos cibercriminosos, no entanto, é coletar as credenciais bancárias dos usuários-alvo por meio de falsas janelas de detecção de segurança de banco criadas pela ameaça. Se o usuário inserir suas credenciais de login na janela exibida, elas serão coletadas e transmitidas ao servidor de comando e controle do invasor. Várias instituições bancárias da região podem ser representadas pelo BBtok Trojan - Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex BBVA e outros.

Tendendo

Mais visto

Carregando...