A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd. descobriu uma nova versão do malware bancário BBTok (em operação desde 2020) que falsifica as interfaces de mais de 40 bancos no Brasil e no México. Seu objetivo é enganar as pessoas com PCs infectados para que insiram o número do cartão bancário ou o código de autenticação de dois fatores (2FA) em suas contas.
Os cibercriminosos por trás do malware BBTok estão constantemente aprimorando suas técnicas para infectar os PCs das vítimas, usando e-mails de phishing mais sofisticados e mantendo ativamente cadeias de infecção diversificadas para diferentes versões do Windows. Essas cadeias empregam uma ampla variedade de tipos de arquivos, incluindo as extensões ISO, ZIP, LNK, DOCX, JS e XLL
"Enquanto em todo o mundo vemos uma tendência consistente de malware multiuso que é capaz de realizar diversas atividades diferentes (roubar dados e credenciais, enviar ransomware, entre outras), na América Latina ainda vemos um domínio de malware bancário cujo único objetivo é roubar informações financeiras das vítimas. Os ataques cibernéticos aumentaram 8% este ano no mundo e não mostram sinais de desaceleração", informa Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Research (CPR).
De acordo com a equipe da CPR, ao analisarem a campanha, eles encontraram alguns dos recursos do servidor da ameaça usados nos ataques visando centenas de usuários no Brasil e no México. Os componentes do lado do servidor são responsáveis por servir cargas maliciosas que provavelmente foram distribuídas por meio de links de phishing. Foram observadas inúmeras iterações dos mesmos scripts e arquivos de configuração do lado do servidor que demonstram a evolução dos métodos de implantação de malware bancário BBTok ao longo do tempo.
No blog da Check Point Research (CPR), os pesquisadores publicaram os bastidores da análise técnica do BBTok dos componentes do lado do servidor de um banco, bem como a lista de bancos-alvo do Brasil e do México.
A evolução do BBTok
O malware bancário BBTok, revelado pela primeira vez em 2020, foi implantado na América Latina por meio de ataques sem arquivo. O malware bancário possui um amplo conjunto de funcionalidades, incluindo enumeração e eliminação de processos, controle de teclado e mouse e manipulação de conteúdo da área de transferência. Além disso, o BBTok contém recursos clássicos de um cavalo de Troia bancário, simulando páginas de login falsas para uma ampla variedade de bancos que operam no México e no Brasil.
Desde que foi divulgado publicamente pela primeira vez, os operadores do BBTok adotaram novos TTPs (Táticas, Técnicas e Procedimentos do atacante), ao mesmo tempo que ainda utilizam principalmente e-mails de phishing com anexos para a infecção inicial. Recentemente, os pesquisadores da Check Point Research viram indícios de malware bancário distribuído por meio de links de phishing, e não como anexos do próprio e-mail.
O vetor de ataque e-mail é um dos mais adotados por atacantes. De acordo com relatório de Inteligência de Ameaças da Check Point Software, 55% dos arquivos maliciosos no Brasil foram entregues via e-mail nos últimos 30 dias.
Fonte: Relatório de Inteligência de Ameaças da Check Point Software
Desde o último relatório público sobre o BBTok há três anos, as técnicas, táticas e procedimentos dos operadores evoluíram significativamente, adicionando camadas adicionais de ocultação e downloaders, resultando em baixas taxas de detecção.
O BBTok continua ativo, visando usuários no Brasil e no México, empregando cercas geográficas em várias camadas para garantir que as máquinas infectadas sejam provenientes apenas desses países. A cerca geográfica multicamadas é uma abordagem sofisticada para criar limites ou zonas virtuais em áreas geográficas. Envolve o uso de múltiplas camadas desses limites, cada uma com seu próprio conjunto de especificações e critérios.
O malware bancário BBTok tem uma funcionalidade dedicada que replica as interfaces de mais de 40 bancos mexicanos e brasileiros e engana as vítimas do malware para que insiram o código 2FA em suas contas bancárias ou o número do cartão de pagamento. Uma análise do código de carga útil do lado do servidor revelou que os atacantes estão mantendo ativamente cadeias de infecção diversificadas para diferentes versões do Windows.
Ao se passar por instituições legítimas, essas interfaces falsas induzem usuários desavisados a divulgar detalhes pessoais e financeiros, enganando a vítima para que insira o código de segurança ou número do token que serve como 2FA para a conta bancária e para realizar o controle da conta da vítima. Em alguns casos, esse recurso também engana a vítima, fazendo-a inserir o número do cartão de pagamento.
O cuidado com tentativas de phishing online
Os ataques de phishing podem ter vários e diferentes objetivos, incluindo entrega de malware, roubo de dinheiro e de credenciais. No entanto, a maioria dos golpes de phishing criados para roubar as informações pessoais podem ser detectados se o usuário prestar atenção suficiente.
