Latin Amerika’yı hedef alan aktif bir kötü amaçlı yazılım kampanyası, bankacılık truva atının yeni bir versiyonunu yayıyor. BBToközellikle Brezilya ve Meksika’daki kullanıcılar.
Check Point, bu konuda yayınlanan araştırmasında şunları söyledi: “BBTok bankacısı, 40’tan fazla Meksika ve Brezilya bankasının arayüzlerini kopyalayan ve kurbanları banka hesaplarına 2FA kodunu girmeleri veya ödeme kartı numaralarını girmeleri için kandıran özel bir işlevselliğe sahip.” hafta.
Yükler, özel bir sunucu tarafı PowerShell betiği tarafından oluşturuluyor ve işletim sistemi ve ülkeye bağlı olarak her kurban için benzersiz olup, çeşitli dosya türlerinden yararlanan kimlik avı e-postaları aracılığıyla teslim ediliyor.
BBTok, ilk kez 2020’de ortaya çıkan, Windows tabanlı bir bankacılık kötü amaçlı yazılımıdır. Tipik trojan gamını çalıştıran, süreçleri numaralandırmasına ve sonlandırmasına, uzaktan komutlar vermesine, klavyeyi değiştirmesine ve bölgede faaliyet gösteren bankalar için sahte oturum açma sayfaları sunmasına olanak tanıyan özelliklerle donatılmıştır. iki ülke.
Saldırı zincirleri oldukça basittir ve uzak bir sunucudan (216.250.251) alınan bankacıyı gizlice dağıtmak için sahte bağlantılar veya ZIP dosyası ekleri kullanır.[.]196) kurbana sahte bir belge gösterirken.
Ancak bunlar aynı zamanda hem Windows 7 hem de Windows 10 sistemleri için de çeşitlendirilmiştir; esas olarak, makinenin herhangi bir tehdide karşı taranmasına olanak tanıyan Kötü Amaçlı Yazılım Önleme Tarama Arayüzü (AMSI) gibi yeni uygulanan algılama mekanizmalarından kaçınmak için adımlar atarlar.
Radarın altından geçmenin diğer iki önemli yöntemi, kötü amaçlı yazılımı PowerShell betiği aracılığıyla sunmadan önce hedeflerin yalnızca Brezilya veya Meksika’dan olduğundan emin olmak için arazide yaşayan ikili dosyaların (LOLBins) kullanılması ve coğrafi sınırlama kontrolleridir.
BBTok başlatıldığında, çeşitli bankaların güvenlik doğrulama sayfalarını simüle etmek amacıyla komutları almak için uzak bir sunucuyla bağlantılar kurar.
Latin Amerika bankalarının arayüzlerini taklit etmedeki amaç, çevrimiçi banka hesaplarının ele geçirilmesini gerçekleştirmek için kullanıcılar tarafından girilen kimlik bilgileri ve kimlik doğrulama bilgilerini toplamaktır.
Şirket, “Operatörün temkinli yaklaşımı dikkat çekicidir: tüm bankacılık faaliyetleri yalnızca C2 sunucusundan gelen doğrudan komutla gerçekleştirilir ve virüs bulaşan her sistemde otomatik olarak gerçekleştirilmez” dedi.
Check Point’in kötü amaçlı yazılıma ilişkin analizi, 2020’den bu yana gizleme ve hedefleme konusunda Meksika bankalarının ötesine geçen önemli bir gelişme olduğunu ortaya çıkardı. Kaynak kodunda ve kimlik avı e-postalarında İspanyolca ve Portekizce dillerinin bulunması, saldırganların kökenine dair bir ipucu sunuyor.
Kötü amaçlı uygulamaya erişimi kaydeden yük oluşturma bileşenini barındıran sunucuda bulunan SQLite veritabanına göre, 150’den fazla kullanıcının BBTok’tan etkilendiği tahmin ediliyor.
Hedefleme ve dil, muhtemelen finansal odaklı kötü amaçlı yazılımların merkez üssü olmaya devam eden Brezilya dışında faaliyet gösteren tehdit aktörlerine işaret ediyor.
Yapay Zeka ve Yapay Zeka: Yapay Zeka Destekli Risklere Karşı Yapay Zeka Savunmalarından Yararlanma
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
Check Point, “BBTok, yakalanması zor teknikleri ve yalnızca Meksika ve Brezilya’daki kurbanları hedef alması nedeniyle radar altında kalmayı başarmış olsa da, hala aktif olarak konuşlandırıldığı açık” dedi.
“Çok sayıda yeteneği ve LNK dosyaları, SMB ve MSBuild’i içeren benzersiz ve yaratıcı dağıtım yöntemi nedeniyle, bölgedeki kuruluşlar ve bireyler için hala tehlike oluşturmaya devam ediyor.”
Bu gelişme, İsrailli siber güvenlik şirketinin, Remcos RAT’ı çok aşamalı bir enfeksiyon dizisi yoluyla dağıtmayı amaçlayan, yakın zamanda Kolombiya’daki birçok sektörden 40’tan fazla önde gelen şirketi hedef alan yeni bir büyük ölçekli kimlik avı kampanyasını ayrıntılarıyla açıklamasıyla ortaya çıktı.
“Gelişmiş bir ‘İsviçre Çakısı’ RAT’ı olan Remcos, saldırganlara virüslü bilgisayar üzerinde tam kontrol sağlar ve çeşitli saldırılarda kullanılabilir. Remcos enfeksiyonunun yaygın sonuçları arasında veri hırsızlığı, takip eden enfeksiyonlar ve hesabın ele geçirilmesi yer alır.” Kontrol Noktası dedi.