Investigadores de seguridad han dado la voz de alarma sobre una campaña activa de malware que está distribuyendo una variante de un troyano bancario llamado BBTok.
Esta amenaza se dirige contra bancos mexicanos y brasileños, contabilizándose más de una cuarentena de entidades como diana.
"El troyano bancario BBTok cuenta con una funcionalidad dedicada que replica las interfaces de más de 40 bancos mexicanos y brasileños y engaña a las víctimas para que introduzcan su código 2FA en sus cuentas bancarias o para que ingresen su número de tarjeta de pago", ha explicado la firma Check Point en una investigación publicada este semana.
BBTok dio la cara por primera vez allá por el 2020. Este malware bancario basado en Windows tiene las funciones clásicas de un troyano, pudiendo enumerar y eliminar procesos, emitir comandos remotos, manipular el teclado y ofrecer páginas de inicio de sesión falsas para los bancos que operan en los dos países.
Desde Check Point aclaran que las cargas útiles son generadas mediante un script de Power Shell personalizado del lado del servidor, resultando únicas para cada víctima, según el sistema operativo y el país.
Estas se envían mediante correos electrónicos de phising, como bien se hace eco The Hackers News. Contienen enlaces falsos o archivos adjuntos ZIP con contenidos maliciosos que lo que hacen es recuperar de forma sigilosa el malware bancario de un servidor remoto.
BBTok está diseñado para evadir los mecanismos de detección, incluyendo algunos recientemente implementados, como la interfaz de escaneo antimalware, que escanea la máquina en busca de amenazas.
Cuando se inicia, BBTok establece conexiones con un servidor remoto para recibir comandos con el fin de simular las páginas de verificación de los bancos. Su objetivo, obviamente, es recopilar información de credenciales y los números proporcionados por la autenticación de doble factor para apropiarse de cuentas bancarias online.
Una amenaza muy viva
El análisis efectuado por Check Point ha revelado una mejora significativa en su ofuscación y orientación desde 2020, expandiéndose más allá de los bancos mexicanos. La presencia de los idiomas español y portugués en el código fuente, así como en los emails de phishing, ofrece una pista sobre el origen de los atacantes.
"Aunque BBTok ha podido permanecer fuera del radar debido a sus técnicas esquivas y a apuntar a víctimas solo en México y Brasil, es evidente que todavía está desplegado activamente", advierte Check Point.
"Debido a sus muchas capacidades y su método de entrega único y creativo que involucra archivos LNK, SMB y MSBuild, todavía representa un peligro para las organizaciones e individuos de la región", concluye.