Nova versão de malware BBTok ataca 40 bancos no Brasil e no México

Foi identificada em circulação uma nova versão do malware bancário BBTok (em operação desde 2020) que falsifica as interfaces de mais de 40 bancos no Brasil e no México. O objetivo é enganar as pessoas com PCs infectados para que insiram o número do cartão bancário ou o código de autenticação de dois fatores (2FA) em suas contas.

O e-mail é o principal vetor desse tipo de ataque. De acordo com relatório de Inteligência de Ameaças da Check Point Software, 55% dos arquivos maliciosos no Brasil foram entregues via e-mail nos últimos 30 dias. 

Os cibercriminosos por trás do malware BBTok estão constantemente aprimorando suas técnicas para infectar os PCs das vítimas, usando e-mails de phishing mais sofisticados e mantendo ativamente cadeias de infecção diversificadas para diferentes versões do Windows. Essas cadeias empregam uma ampla variedade de tipos de arquivos, incluindo as extensões ISO, ZIP, LNK, DOCX, JS e XLL

“Enquanto em todo o mundo vemos uma tendência consistente de malware multiuso que é capaz de realizar diversas atividades diferentes (roubar dados e credenciais, enviar ransomware, entre outras), na América Latina ainda vemos um domínio de malware bancário cujo único objetivo é roubar informações financeiras das vítimas. Os ataques cibernéticos aumentaram 8% este ano no mundo e não mostram sinais de desaceleração”, informa Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Research (CPR), que fez a descoberta.

De acordo com a equipe da CPR, ao analisarem a campanha, eles encontraram alguns dos recursos do servidor da ameaça usados nos ataques visando centenas de usuários no Brasil e no México. Os componentes do lado do servidor são responsáveis por servir cargas maliciosas que provavelmente foram distribuídas por meio de links de phishing. Foram observadas inúmeras iterações dos mesmos scripts e arquivos de configuração do lado do servidor que demonstram a evolução dos métodos de implantação de malware bancário BBTok ao longo do tempo.

O malware bancário BBTok, revelado pela primeira vez em 2020, foi implantado na América Latina por meio de ataques sem arquivo. O malware bancário possui um amplo conjunto de funcionalidades, incluindo enumeração e eliminação de processos, controle de teclado e mouse e manipulação de conteúdo da área de transferência. Além disso, o BBTok contém recursos clássicos de um cavalo de Troia bancário, simulando páginas de login falsas para uma ampla variedade de bancos que operam no México e no Brasil.

Desde que foi divulgado publicamente pela primeira vez, os operadores do BBTok adotaram novos TTPs (Táticas, Técnicas e Procedimentos do atacante), ao mesmo tempo que ainda utilizam principalmente e-mails de phishing com anexos para a infecção inicial. Recentemente, os pesquisadores da Check Point Research viram indícios de malware bancário distribuído por meio de links de phishing, e não como anexos do próprio e-mail.