BBTok es un malware bancario visto por primera vez en 2020 y dirigido principalmente a usuarios de América Latina, particularmente México y Brasil.
El virus emplea tácticas avanzadas, como correos electrónicos de phishing, que conducen a la descarga de archivos maliciosos que pueden replicar la interfaz de más de 40 bancos.
Los investigadores de GDataSoftware descubrieron recientemente que el malware bancario BBTok está atacando activamente a organizaciones que utilizan PowerShell, Python e Idlib.
Este sofisticado malware se dirige a “organizaciones brasileñas” iniciando la cadena de infección a través de una “imagen ISO” enviada por correo electrónico.
“'ISO' contiene un 'archivo de acceso directo de Windows (LNK)' disfrazado de 'Factura PDF (DANFE)'.
Contenido de la imagen ISO (Fuente – GDataSoftware)
Microsoft Build Engine ('MSBuild.exe') se ejecuta para compilar código 'C#' malicioso en la máquina de la víctima.
La DLL .NET resultante emplea la omisión de UAC utilizando ProgID y computerdefaults.exe para ejecutar un cargador ofuscado, Trammy.dll.
Trammy.dll utiliza AppDomain Manager Inyección, una técnica que ejecuta código malicioso anulando el método “InitializeNewDomain()”.
El cargador está ofuscado con una “variante de ConfuserEx” y requiere un proceso de desofuscación de varios pasos.
Actualmente, se requieren herramientas como “NoFuserEx'', “de4dot-cex'' y “scripts personalizados'' para obtener cadenas codificadas.
Fortalezca la seguridad con IA => Seminario web gratuito
En las máquinas infectadas, el malware escribe archivos de registro ofuscados que requieren tablas de interpretación para los respondedores de incidentes.
El informe de GDataSoftware afirma que esta cadena de ataque completa demuestra técnicas de evasión sofisticadas descubiertas aprovechando componentes legítimos de Windows y técnicas complejas de ofuscación.
Todos estos métodos se aprovecharon para hacer que el análisis y la detección fueran más difíciles y complejos.
Etapas involucradas (Fuente – GDataSoftware)
Trammy.dll comienza a ejecutarse a través del método InitializeNewDomain() de SacApp.SacApp porque está especificado como AppDomainManager en la configuración.
Primero abre el archivo PDF señuelo, luego verifica dos condiciones: “Presencia de un archivo específico (C:\ProgramData\internal_drive_version2.3.4.txt)” y “Verificación de una dirección IP brasileña” antes de continuar. El malware registra sus registros. Actividad en “C:\ProgramData\log.txt”. Utilice palabras clave como “INICIO” y “ADMIN” para indicar el progreso.
Recopila información del sistema a través de “WMI” y envía esos datos a un “servidor remoto”.
Recopilamos la siguiente información: –
OSVersion CSName Título Versión Número de serie Número de compilación OsArchitecture
Para lograr persistencia, descarga e instala CCProxy, se disfraza como “Searchlndexer.exe” (tenga en cuenta la “L” minúscula) y configura un servicio para la carga útil compilada con Delphi (explorer.exe). CCProxy está configurado para aceptar conexiones HTTP en localhost:8118 y suplantar las comunicaciones con el servidor de comando y control (C2).
El malware agrega C:\ProgramData a las exclusiones de Windows Defender. Después de establecer la persistencia, crea un archivo previamente verificado para evitar la reejecución, muestra una advertencia de vencimiento de la licencia de Windows y reinicia el sistema.
Al reiniciar, las cargas útiles de CCProxy y Delphi se activan; esta última utiliza el SDK de Realthinclient para comunicarse con el servidor C2 a través de CCProxy.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
BBTok Attacking Organizations Using PowerShell, Python, And dnlib
