Une campagne active de logiciels malveillants ciblant l’Amérique latine diffuse une nouvelle variante d’un cheval de Troie bancaire appelé BBToken particulier les utilisateurs au Brésil et au Mexique.
« Le banquier BBTok dispose d’une fonctionnalité dédiée qui reproduit les interfaces de plus de 40 banques mexicaines et brésiliennes et incite les victimes à saisir son code 2FA sur leurs comptes bancaires ou à saisir leur numéro de carte de paiement », Check Point dit dans une recherche publiée cette semaine.
Les charges utiles sont générées par un script PowerShell personnalisé côté serveur et sont uniques pour chaque victime en fonction du système d’exploitation et du pays, tout en étant transmises via des e-mails de phishing exploitant divers types de fichiers.
BBTok est un malware bancaire basé sur Windows qui fait surface pour la première fois en 2020. Il est équipé de fonctionnalités qui couvrent la gamme typique des chevaux de Troie, lui permettant d’énumérer et de tuer des processus, d’émettre des commandes à distance, de manipuler le clavier et de servir de fausses pages de connexion pour les banques opérant dans les deux pays.
Les chaînes d’attaque elles-mêmes sont assez simples, utilisant de faux liens ou des pièces jointes de fichiers ZIP pour déployer furtivement le banquier récupéré sur un serveur distant (216.250.251[.]196) tout en montrant un document leurre à la victime.
Mais ils sont également diversifiés pour les systèmes Windows 7 et Windows 10, prenant principalement des mesures pour échapper aux mécanismes de détection nouvellement mis en œuvre tels que Antimalware Scan Interface (AMSI) qui permet d’analyser la machine à la recherche d’éventuelles menaces.
Deux autres méthodes clés pour passer inaperçues sont l’utilisation de binaires vivant de l’extérieur du pays (LOLBins) et les contrôles de géorepérage pour garantir que les cibles proviennent uniquement du Brésil ou du Mexique avant de diffuser le malware via le script PowerShell.
Une fois lancé, BBTok établit des connexions avec un serveur distant pour recevoir des commandes permettant de simuler les pages de vérification de sécurité de différentes banques.
En usurpant l’identité des interfaces des banques latino-américaines, l’objectif est de récolter les informations d’identification et d’authentification saisies par les utilisateurs pour effectuer des rachats de comptes bancaires en ligne.
« Ce qui est remarquable, c’est l’approche prudente de l’opérateur : toutes les activités bancaires ne sont exécutées que sur commande directe de son serveur C2, et ne sont pas automatiquement exécutées sur chaque système infecté », a indiqué la société.
L’analyse du malware par Check Point a révélé une amélioration significative de son obscurcissement et de son ciblage depuis 2020, s’étendant au-delà des banques mexicaines. La présence de l’espagnol et du portugais dans le code source ainsi que dans les e-mails de phishing donne une indication sur l’origine des attaquants.
On estime que plus de 150 utilisateurs ont été infectés par BBTok, sur la base d’une base de données SQLite trouvée dans le serveur hébergeant le composant de génération de charge utile qui enregistre l’accès à l’application malveillante.
Le ciblage et le langage indiquent que les acteurs de la menace opèrent probablement depuis le Brésil, qui continue d’être l’épicentre de puissants logiciels malveillants à vocation financière.
IA contre IA : exploiter les défenses de l’IA contre les risques liés à l’IA
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
« Bien que BBTok ait pu rester inaperçu en raison de ses techniques insaisissables et de son ciblage des victimes uniquement au Mexique et au Brésil, il est évident qu’il est toujours activement déployé », a déclaré Check Point.
« En raison de ses nombreuses capacités et de sa méthode de livraison unique et créative impliquant des fichiers LNK, SMB et MSBuild, il constitue toujours un danger pour les organisations et les individus de la région. »
Cette évolution intervient alors que la société israélienne de cybersécurité a détaillé une nouvelle campagne de phishing à grande échelle qui a récemment ciblé plus de 40 entreprises de premier plan dans plusieurs secteurs en Colombie dans le but ultime de déployer le Remcos RAT via une séquence d’infection en plusieurs étapes.
« Remcos, un RAT sophistiqué « couteau suisse », accorde aux attaquants un contrôle total sur l’ordinateur infecté et peut être utilisé dans diverses attaques. Les conséquences courantes d’une infection par Remcos incluent le vol de données, les infections ultérieures et le piratage de compte. » Point de contrôle dit.