Cyberthreat.id – Malware aktif yang menargetkan Amerika Latin mengeluarkan varian baru trojan perbankan yang disebut BBTok, khususnya pengguna di Brasil dan Meksiko.

“Bankir BBTok memiliki fungsi khusus yang mereplikasi antarmuka lebih dari 40 bank Meksiko dan Brasil, dan mengelabui korban agar memasukkan kode 2FA ke rekening bank mereka atau memasukkan nomor kartu pembayaran mereka,” kata Check Point dalam penelitian yang dipublikasikan pekan ini sebagaimana dikutip The Hacker News.

Payload dihasilkan oleh skrip PowerShell sisi server khusus dan unik untuk setiap korban berdasarkan sistem operasi dan negara, saat dikirimkan melalui email phishing yang memanfaatkan berbagai jenis file.

BBTok adalah malware perbankan berbasis Windows yang pertama kali muncul pada tahun 2020.

BBTok dilengkapi dengan fitur yang menjalankan trojan gamut pada umumnya, memungkinkannya menghitung dan menghentikan proses, mengeluarkan perintah jarak jauh, memanipulasi keyboard, dan menyajikan halaman login palsu untuk bank yang beroperasi di dua negara tersebut.

Rantai serangannya sendiri cukup mudah, menggunakan tautan palsu atau lampiran file ZIP untuk secara diam-diam menyebarkan bankir yang diambil dari server jarak jauh (216.250.251[.]196) sambil menampilkan dokumen umpan kepada korban.

Mereka juga terdiversifikasi untuk sistem Windows 7 dan Windows 10, terutama mengambil langkah-langkah untuk menghindari mekanisme deteksi yang baru diterapkan seperti Antimalware Scan Interface (AMSI) yang memungkinkan pemindaian mesin untuk mencari ancaman apa pun.

Dua metode penting lainnya agar tidak terdeteksi radar adalah penggunaan living-off-the-land binaries (LOLBins) dan pemeriksaan geofencing untuk memastikan bahwa target hanya berasal dari Brasil atau Meksiko sebelum menyajikan malware melalui skrip PowerShell.

Setelah diluncurkan, BBTok membuat koneksi dengan server jarak jauh untuk menerima perintah guna mensimulasikan halaman verifikasi keamanan untuk berbagai bank.

Dalam meniru antarmuka bank-bank Amerika Latin, tujuannya adalah untuk mengumpulkan informasi kredensial dan otentikasi yang dimasukkan oleh pengguna untuk melakukan pengambilalihan akun atas rekening bank online.

“Yang penting adalah pendekatan operator yang hati-hati: semua aktivitas perbankan hanya dijalankan berdasarkan perintah langsung dari server C2, dan tidak secara otomatis dilakukan pada setiap sistem yang terinfeksi,” kata perusahaan itu.

Analisis Check Point terhadap malware ini menunjukkan adanya peningkatan signifikan pada pengaburan dan penargetan malware tersebut sejak tahun 2020, dan meluas hingga melampaui bank-bank Meksiko.

Kehadiran bahasa Spanyol dan Portugis dalam kode sumber serta dalam email phishing memberikan petunjuk mengenai asal penyerang.

Lebih dari 150 pengguna diperkirakan telah terinfeksi BBTok, berdasarkan database SQLite yang ditemukan di server yang menampung komponen pembangkitan muatan yang mencatat akses ke aplikasi berbahaya.

Penargetan dan bahasa yang digunakan menunjuk pada pelaku ancaman yang kemungkinan besar beroperasi di Brasil, yang terus menjadi pusat malware yang berfokus pada finansial.

“Meskipun BBTok tetap berada di bawah radar karena tekniknya yang sulit dipahami dan hanya menargetkan korban di Meksiko dan Brasil, terbukti bahwa BBTok masih aktif dikerahkan,” kata Check Point.

“Karena banyaknya kemampuannya, serta metode penyampaiannya yang unik dan kreatif yang melibatkan file LNK, SMB, dan MSBuild, hal ini masih menimbulkan bahaya bagi organisasi dan individu di wilayah ini.”

Perkembangan ini terjadi ketika perusahaan keamanan siber Israel merinci kampanye phishing skala besar baru yang baru-baru ini menargetkan lebih dari 40 perusahaan terkemuka di berbagai industri di Kolombia dengan tujuan akhir untuk menyebarkan RAT Remcos melalui rangkaian infeksi multi-tahap.

"Remcos, sebuah RAT 'Swiss Army Knife' yang canggih, memberi penyerang kendali penuh atas komputer yang terinfeksi dan dapat digunakan dalam berbagai serangan. Konsekuensi umum dari infeksi Remcos termasuk pencurian data, infeksi lanjutan, dan pengambilalihan akun," kata Check Point.[]