Cheval de Troie BBtok

Le cheval de Troie BBtok est une nouvelle souche de malware bancaire qui a été déployée principalement contre des utilisateurs au Mexique. La menace exploite une approche d'attaque sans fichier pour compromettre les appareils des utilisateurs. Pour son vecteur de propagation, BBtok Trojan utilise des e-mails de phishing contenant des pièces jointes d'armes constituées d'un package compressé contenant des fichiers lnk menaçants. L'e-mail est conçu pour apparaître aussi légitime que possible et tente de tromper le destinataire pour qu'il démarre les fichiers lnk contenant des logiciels malveillants, ce qui entraîne l'exécution d'un script PowerShell.

Avant que le composant principal du cheval de Troie BBtok ne soit livré à l'appareil, plusieurs étapes de configuration doivent être effacées. Tout d'abord, lorsque le script PowerShell menaçant initial est activé, il télécharge et exécute une charge utile Loader écrite en .Net. Le chargeur déploie ensuite le mécanisme de persistance de la menace en remplaçant le fichier winmm.dll dans le répertoire système. Sur les architectures 64 bits, le module Loader exécute également une procédure de contre-mesure antivirus. En exploitant le KDU (Kernel Driver Utility) open-source, il tente de supprimer les entrées de registre des solutions logicielles antivirus populaires en accédant à la mémoire du noyau arbitraire grâce au pilote vulnérable fourni par KDU.

Lorsqu'il est déployé sur l'appareil compromis, BBtok Trojan établit un module de porte dérobée qui donne aux attaquants la possibilité d'effectuer diverses opérations menaçantes. En recevant la commande appropriée, la menace du logiciel malveillant peut simuler et enregistrer les opérations du clavier et de la souris, manipuler les fenêtres du programme, énumérer tous les processus et mettre fin à ceux spécifiés, remplacer le contenu du presse-papiers, désactiver DWM (Desktop Window Manager), etc.

Cependant, l'objectif principal des cybercriminels est de collecter les informations d'identification bancaires des utilisateurs ciblés via de fausses fenêtres de détection de sécurité bancaire créées par la menace. Si l'utilisateur saisit ses informations de connexion dans la fenêtre affichée, elles seront récoltées et transmises au serveur de commande et de contrôle de l'attaquant. Plusieurs institutions bancaires de la région peuvent se faire passer pour BBtok Trojan - Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex, BBVA et autres.