И банки: троян BBTok атакует клиентов банков в Мексике и Бразилии

Злоумышленники атакуют сотни банковских клиентов в Латинской Америке с новой версией существующего банковского трояна, который имитирует интерфейсы более чем 40 мексиканских и бразильских банков. Цель кампании – обмануть жертв, чтобы они предоставили данные двухфакторной аутентификации (2FA) и данные платежной карты, что позволит злоумышленникам захватить их банковские счета.

Исследователи из компании Check Point Software раскрыли , что основной метод распространения вредоносного ПО — фишинговые атаки. В рамках кампании злоумышленники активно распространяют вариант банковского трояна BBTok, нацеленный на пользователей из Мексики и Бразилии.

Злоумышленники разработали сложные методы заражения различных версий Windows, чтобы расширить масштабы атак. Киберпреступники используют уникальные техники, что затрудняет обнаружение вредоносного ПО. В том числе, как заявили специалисты Check Point, хакеры используют «уникальную комбинацию Living off the Land Binaries (LOLBins).

Кроме того, киберпреступники применяют продвинутые методы геозонирования (geofencing), чтобы убедиться, что жертвы, получающие фишинговые сообщения, находятся только в Бразилии и Мексике.

Одной из ключевых особенностей кампании является использование поддельных интерфейсов для более чем 40 банков в Мексике и Бразилии. Интерфейсы настолько правдоподобны, что многие пользователи, не подозревая обмана, предоставляют свои личные и финансовые данные.

Примеры поддельных интерфейсов сайтов

Троян BBTok был впервые обнаружен в Латинской Америке в 2020 году. Его функционал включает в себя управление процессами, клавиатурой и мышью, а также возможность манипулировать содержимым буфера обмена. Исследователи Check Point обнаружили последний вариант трояна, анализируя серверные ресурсы злоумышленников.

В ходе исследования была обнаружена база данных жертв трояна BBTok в Мексике, содержащая более 150 записей с информацией о жертвах. Это подтверждает успешность операции злоумышленников, которая, по-видимому, продолжается.

Напомним, что в августе исследователи Trend Micro обнаружили новый банковский троян MMRat , нацеленный на пользователей Android в Юго-Восточной Азии. MMRat распространяется через фишинговые сайты, маскирующиеся под официальные магазины приложений. Для улучшения производительности при передаче больших объёмов данных троян использует специально разработанный C2-протокол на основе Protobuf.

Также отмечалось, что новый банковский троян для Android под названием Hook базируется на другом некогда известном трояне ERMAC. Эксперты из NCC Group утверждают, что исходный код ERMAC был использован как основа для Hook .