Uma nova variante de malware bancário, conhecida como BBTok, está mirando mais de 40 bancos no Brasil e no México. O seu propósito é enganar usuários com PCs infectados, levando-os a inserir seus números de cartão bancário ou códigos de autenticação de dois fatores (2FA) em suas contas.
Os responsáveis pelo BBTok estão constantemente refinando suas técnicas de infecção, empregando e-mails de phishing mais sofisticados e mantendo diversas cadeias de infecção para diferentes versões do Windows. Estas cadeias incluem uma ampla variedade de tipos de arquivo, como ISO, ZIP, LNK, DOCX, JS e XLL.
Especialistas identificaram os recursos do servidor da ameaça usados nos ataques direcionados a centenas de usuários no Brasil e no México. Esses componentes servem para disseminar cargas maliciosas, muito provavelmente através de links de phishing. Observou-se várias iterações dos mesmos scripts e arquivos de configuração do lado do servidor, evidenciando a evolução das táticas de implantação do malware BBTok ao longo do tempo.
O BBTok, inicialmente identificado em 2020, foi implantado na América Latina através de ataques sem arquivo. Este malware bancário possui uma ampla gama de funcionalidades, incluindo:
Desde sua primeira detecção, os operadores do BBTok adotaram novas táticas, mantendo, contudo, o uso predominante de e-mails de phishing com anexos para a infecção inicial. Recentemente, observou-se o uso de links de phishing como vetor de ataque, em vez de anexos diretamente no e-mail.
Segundo relatório de Inteligência de Ameaças da Check Point Software, 55% dos arquivos maliciosos no Brasil foram entregues via e-mail nos últimos 30 dias.
Desde o último relatório público sobre o BBTok há três anos, as técnicas, táticas e procedimentos dos operadores evoluíram significativamente, adicionando camadas adicionais de ocultação e downloaders, resultando em baixas taxas de detecção.
Este malware apresenta uma funcionalidade que replica as interfaces de mais de 40 bancos mexicanos e brasileiros, induzindo as vítimas a inserirem códigos 2FA em suas contas bancárias ou números de cartões de pagamento. A análise do código de carga útil do lado do servidor revelou que os atacantes continuam aprimorando suas cadeias de infecção, adaptando-as para diferentes versões do Windows.
Ao se passarem por instituições legítimas, essas interfaces falsas enganam usuários desatentos a divulgar detalhes pessoais e financeiros, levando a vítima a inserir códigos de segurança ou números de tokens, que servem como 2FA, além de controlar a conta da vítima. Em alguns casos, induzem também a inserir o número do cartão de pagamento.
Embora o BBTok tenha mantido um perfil discreto devido às suas táticas evasivas, sua atividade persiste. Portanto, é crucial que usuários permaneçam vigilantes, evitando e-mails suspeitos e tendo cuidado ao inserir suas credenciais bancárias e informações de cartão de pagamento.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
DarkGPTs: Cibercriminosos buscam IAs maliciosas para automatizar processos
Resumo de Ransomware - KageNoHitobito e DoNex
