Nova variante do Malware BBTok mira empresas brasileiras com técnicas avançadas
Uma nova versão do malware bancário BBTok foi desenvolvida especificamente para atacar empresas no Brasil. A invasão começa com um e-mail de phishing, que contém uma imagem ISO disfarçada de documento fiscal legítimo. Ao ser aberta, essa imagem executa um código malicioso no dispositivo infectado, iniciando o ataque.
Técnica de Injeção Avançada
O BBTok utiliza a técnica de “AppDomain Manager Injection”, permitindo a execução avançada de código malicioso. Essa abordagem compila código C# diretamente no dispositivo comprometido, sem levantar suspeitas. Além disso, o código malicioso é camuflado em arquivos XML, tornando sua análise ainda mais difícil para os sistemas de segurança.
Disfarce e Persistência no Sistema
Os cibercriminosos também exploram vulnerabilidades em arquivos LNK e disfarçam esses arquivos com ícones de PDF, enganando as vítimas ao fazê-las acreditar que estão abrindo documentos legítimos. Uma vez que o arquivo é executado, o malware carrega seu código malicioso em segundo plano, ao mesmo tempo que exibe um falso documento fiscal.
Para garantir que o malware permaneça ativo e indetectável, o BBTok utiliza técnicas de bypass de UAC (User Account Control) e modifica configurações do Windows, criando persistência no sistema.
Proteção Ofuscada
A versão mais recente do BBTok inclui um arquivo DLL ofuscado chamado Trammy.dll, projetado para impedir que seus códigos sejam lidos ou compreendidos. No entanto, pesquisadores de segurança conseguiram deobfuscar essa DLL, revelando o funcionamento interno do malware. Um dos métodos usados pelo BBTok é verificar a localização do IP da vítima, garantindo que o ataque só seja executado em máquinas localizadas no Brasil.
Com essa nova variante, o BBTok se destaca por suas capacidades avançadas de evasão de ferramentas de detecção e uso de métodos sofisticados de ofuscação e criptografia, tornando-o uma ameaça séria para empresas no Brasil.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
