Alertas

BBTok troyano bancario file-less ataca entidades financieras en LATAM

Resumen

Investigadores de ciberseguridad de 360 ​​Security detectaron un nuevo troyano bancario denominado BBtok el cual ha tenido repute en México y es conocido por la metodología de ataque file-less

El troyano envía un paquete comprimido que contiene archivos lnk maliciosos a los usuarios a través de correos electrónicos de phishing u otros medios. Cuando el usuario hace clic en el lnk malicioso, la secuencia de comandos de PowerShell transportada se activará para ejecutar cargas útiles de ataque posteriores.

Prioridad

10 CRÍTICA- IMPORTANTE

Detalle

El siguiente proceso general de operación del virus es el:

Después de implementar BBtok en la máquina de la víctima, se ejecutará un módulo de puerta trasera. El atacante puede ejecutar diferentes funciones maliciosas emitiendo comandos de control, incluida la creación de una ventana de detección de seguridad bancaria falsa para engañar al usuario para que ingrese credenciales de inicio de sesión, robando así la contraseña de la cuenta del usuario

Ataque sin archivo

El archivo de Lnk lleva comandos de PowerShell maliciosos para engañar al usuario para que haga clic, active el código malicioso, descargue y ejecute la carga útil maliciosa posterior:

Persistencia

El cargador reemplazará winmm.dll en el directorio del sistema para realizar la residencia del virus y el inicio automático

Omisión de antivirus

BBtok extrae el programa principal de control de puerta trasera del paquete comprimido. Los piratas informáticos pueden controlar la máquina de la víctima emitiendo las instrucciones de puerta trasera en la imagen, incluido el control de ventanas, la gestión de procesos, el registrador de claves, el secuestro del portapapeles y otras funciones.

Troyano bancario

Los piratas informáticos también pueden optar por simular diferentes interfaces de verificación de seguridad falsa bancaria a través de comandos de control de puerta trasera y robar credenciales de inicio de sesión de usuario para Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex, BBVA, etc .

La siguiente imagen muestra la interfaz falsa 1:

Interfaz falsa 2

Interfaz falsa 3

Indicadores de Compromiso

MD5:

f0bb745b4ab8b3eb36a5a6bd0c31d9c3

URL:

 http [:] // bIt.dO/fJZR3

http [:] // diprolisa.mx/archivos/project/a9sid9aisd9

http [:] // diprolisa.mx/archivos/pdf

http [:] // mexicanagm.mx/contacto/gambler.php

Recomendaciones

Se recomiendan aplicar las siguientes mejores prácticas para fortalecer la postura de seguridad de los sistemas de su organización. Los propietarios y administradores del sistema deben revisar cualquier cambio de configuración antes de la implementación para evitar impactos no deseados.

• Instalación de herramientas tipo Endpoint Detection and Response, que permtia un monitoreo y respuesta continua para mitigar las amenazas cibernéticas, incluso sofisticadas que pasan desapercibidos por herramientas tradicionales.
• Mantener los sistemas de antivirus actualizados con las últimas firmas disponibles.
• Mantener los Sistemas Operativos, el software de ofimática y el resto de software instalado en los equipos actualizados con los últimos parches de seguridad.
• Evitar el uso de software que no disponga de soporte oficial.
• Deshabilitar el uso de macros en archivos ofimáticos y mantener siempre que se desconfíe de su origen la vista protegida activada.
• Bloquear archivos adjuntos de correo electrónico asociados con malware (por ejemplo, .dll y .exe).
• Bloquear archivos adjuntos de correo electrónico que no puedan ser analizados por software antivirus (por ejemplo, archivos .zip).
• Implementar reglas de firewall y objetos de directiva de grupo.
• Implementar un programa antivirus y un proceso formalizado de administración de parches.
• Implementar filtros en la puerta de enlace de correo electrónico y bloquee las direcciones IP sospechosas en el firewall.
• Adherirse al principio de privilegio mínimo.
• Implementar un sistema de validación de conformidad, informes y autenticación de mensajes basados ​​en dominios.
• Segmentar y segregar redes y funciones.
• Limitar las comunicaciones laterales innecesarias.
• Desactivar los servicios para compartir archivos e impresoras. Si se requieren estos servicios, utilice  contraseñas seguras  o autenticación de Active Directory.
• Tener cuidado al abrir archivos adjuntos de correo electrónico, incluso si se espera el archivo adjunto y el remitente parece ser conocido. 
• Habilitar un firewall en las estaciones de trabajo establecido para rechazar solicitudes de conexión no solicitadas.
• Desactivar los servicios innecesarios en las estaciones de trabajo y los servidores de la organización
• Escanear y eliminar archivos adjuntos de correo electrónico sospechosos; asegúrese de que el archivo adjunto escaneado sea su "tipo de archivo verdadero" (es decir, la extensión coincide con el encabezado del archivo).
• Monitorear los hábitos de navegación web de los usuarios; restringir el acceso a sitios sospechosos o riesgosos.
• Tener cuidado al utilizar medios extraíbles (por ejemplo, unidades de memoria USB, unidades externas, CD).
• Escanear todo el software descargado de Internet antes de ejecutarlo.
• Mantener el conocimiento de la situación de las amenazas más recientes e implemente listas de control

Informar a sus clientes sobre los trucos que emplean los ciberdelincuentes. Enviar información periódica sobre cómo identificar el fraude y cómo eliminarlo.

Fuente: 

https://blog.360totalsecurity.com/en/360-file-less-attack-protection-intercepts-the-banker-trojan-bbtok-active-in-mexico/