Vn-Z.vn Ngày 22 tháng 09 năm 2023, Theo các chuyên gia an ninh mạng tại checkpoint , họ vừa phát hiện ra Phần mềm độc hại BBTok tái xuất và đang tấn công vào hơn 40 ngân hàng ở Brazil và Mexico. Loại malware này được biết đến với khả năng đánh cắp thông tin nhạy cảm, đặc biệt là thông tin đăng nhập ngân hàng. Đây là một mối đe dọa nghiêm trọng đối với cá nhân và các tổ chức tài chính trong các khu vực bị nhắm mục tiêu.
BBTok Malware thường được phân phối qua email lừa đảo, tải xuống độc hại hoặc các trang web bị hack. Khi BBTok Malware xâm nhập vào hệ thống, nó sẽ hoạt động một cách âm thầm, cố gắng trích xuất thông tin đăng nhập, chi tiết thẻ tín dụng và các thông tin cá nhân khác. Dữ liệu này sau đó được sử dụng bởi các cá nhân, tổ chức tội phạm mạng tiến hành các hoạt động gian lận, chẳng hạn như giao dịch trái phép hoặc trộm danh tính.
Các chuyên gia an ninh mạng từ checkpoint tuyên bố rằng kể từ năm 2020, họ đã quan sát thấy sự cải thiện đáng kể về TTP (kỹ thuật, chiến thuật và quy trình) được các nhà khai thác của phần mềm độc hại BBTok . Malware này đã được nâng cấp với nhiều lớp ẩn thân khiến các hệ thống an ninh khó phát hiện hơn.
BBTok đặc biệt nhắm mục tiêu đến người dùng ở Brazil và Mexico, sử dụng Living off the Land Binaries (LOLBins) tiên tiến đảm bảo sự kết hợp độc đáo giữa các chuỗi lây nhiễm. BBTok Sử dụng các kỹ thuật tạo hàng rào địa lý nhiều lớp và đã lây nhiễm vào các hệ thống ở các quốc gia la tinh này.
BBTok có thể sao chép giao diện của hơn 40 ngân hàng lớn ở Mexico và Brazil. BBTok sử dụng các chiến lược phishing lừa người dùng nhập mã bảo mật hoặc số thẻ thanh toán, chuyên tập trung vào các vụ xâm nhập ngân hàng.
Một yếu tố quan trọng trong hoạt động của BBTok là các chức năng từ phía máy chủ. Những thành phần này đóng vai trò quan trọng trong việc phục vụ các tải trọng độc hại, mà các hacker tấn công có thể phân phối mã độc thông qua các liên kết lừa đảo. Mỗi phiên được tạo ra độc đáo cho từng nạn nhân, tương tác từ phía người dùng. Checkpoint đã tóm lược những điểm chính của chiến dịch tấn công này như sau:
Có khả năng tạo ra các tải trọng độc đáo dựa trên hệ điều hành và vị trí của nạn nhân. - Duy trì một chuỗi lây nhiễm đa dạng cho các phiên bản khác nhau của Windows. - Sử dụng các loại tệp tin khác nhau để lây nhiễm, bao gồm ISO, ZIP, LNK, DOCX, JS và XLL. - Kết hợp mã nguồn mở, mã từ các diễn đàn hacking và các lỗ hổng mới phát hiện để tăng cường kho vũ khí của họ.
Các yếu tố quan trọng này bao gồm:
1. Khả năng tạo ra tải trọng độc đáo unique payloads : BBTok có khả năng tạo ra các tải trọng độc đáo dựa trên hệ điều hành và vị trí của nạn nhân. Điều này cho phép các nhân vật tấn công tùy chỉnh tải trọng để tương thích với môi trường cụ thể của nạn nhân, làm tăng khả năng thành công của cuộc tấn công.
2. Duy trì chuỗi lây nhiễm đa dạng: BBTok duy trì các chuỗi lây nhiễm đa dạng để phục vụ các phiên bản khác nhau của Windows. Điều này đảm bảo rằng phần mềm độc hại có khả năng tương thích với nhiều hệ điều hành và phiên bản Windows, mở rộng phạm vi tiềm năng của các cuộc tấn công.
3. Sử dụng nhiều loại tệp tin cho quá trình lây nhiễm: BBTok sử dụng nhiều loại tệp tin khác nhau để lây nhiễm, bao gồm ISO, ZIP, LNK, DOCX, JS và XLL. Việc sử dụng các định dạng tệp tin đa dạng như vậy giúp tăng khả năng xâm nhập vào hệ thống của nạn nhân và làm mờ đi các biểu hiện độc hại.
4. Kết hợp mã nguồn mở và mã từ diễn đàn hacking: BBTok sử dụng mã nguồn mở và mã từ các diễn đàn hacking để tăng cường khả năng tấn công. Bằng cách sử dụng các nguồn tài nguyên này, hacker có thể sử dụng các công cụ, kỹ thuật và lỗ hổng đã được phát triển bởi cộng đồng an ninh mạng để gia tăng sức mạnh của mình.
Malware BBTok, được viết bằng ngôn ngữ Delphi, sử dụng Visual Component Library (VCL) tạo ra các giao diện mô phỏng các nền tảng ngân hàng. Một mục tiêu mặc định như vậy là BBVA, BBTok sao chép giao diện của hệ thống BBVA nhằm đánh lừa người dùng không cẩn thận. Tuy nhiên, BBTok không hạn chế khả năng của nó chỉ trong việc gây lừa trực quan. Nó có thể thâm nhập sâu hơn vào hệ thống bằng cách cài đặt các tiện ích trình duyệt độc hại hoặc tiêm chủ động các tệp DLL.
Ngoài ra, giao diện của BBTok được lưu trữ trong một biểu mẫu có tên là "TFRMBG". Biểu mẫu này rất quan trọng trong việc tạo ra giao diện đánh lừa giả mạo. Hơn nữa, những hacekr đã đa dạng hóa chiến lược của họ bằng cách tìm kiếm thông tin liên quan đến Bitcoin trên các máy tính bị nhiễm, quét chuỗi có thông tin 'bitcoin', 'Electrum' và 'binance'.
Đáng chú ý, tất cả các hoạt động ngân hàng được khởi chạy bởi BBTok chỉ được thực hiện khi có lệnh trực tiếp từ máy chủ C2 (command and control). Không phải hệ thống bị nhiễm sẽ tự động trải qua các cuộc tấn công liên quan đến ngân hàng, cho thấy sự tiếp cận thận trọng của các hacker.
Sergey Shykevich, quản lý từ Check Point, cho biết rằng phần mềm độc hại liên quan đến ngân hàng vẫn là một vấn đề đáng lo ngại ở Latin America vì mục tiêu chính của nó là đánh cắp thông tin tài chính của nạn nhân.
"Trong khi trên toàn thế giới chúng ta thấy một xu hướng nhất quán của phần mềm độc hại đa năng có khả năng thực hiện nhiều hoạt động khác nhau (đánh cắp dữ liệu và thông tin đăng nhập, tải ransomware, v.v.), ở Latin America chúng ta vẫn thấy sự thống trị của phần mềm độc hại liên quan đến ngân hàng chỉ có mục tiêu là đánh cắp thông tin tài chính của nạn nhân."
"Số lượng cuộc tấn công mạng đã tăng 8% trong năm nay và không có dấu hiệu giảm tốc. Chúng tôi kêu gọi mọi người duy trì cảnh giác và hết sức thận trọng với các email đáng ngờ có đính kèm tập tin và chú ý đặc biệt đến nơi bạn nhập thông tin đăng nhập ngân hàng và thẻ thanh toán của mình".
Phần mềm độc hại ngân hàng BBTok là một sản phẩm của các cuộc tấn công không tạo tệp tin mà đã diễn ra ở Latin America vào năm 2020 và có rất nhiều chức năng, bao gồm tiêu diệt/đánh định các tiến trình, thao tác nội dung clipboard, kiểm soát bàn phím/chuột và các tính năng đặc trưng của phần mềm độc hại ngân hàng cũng như mô phỏng giao diện đăng nhập giả mạo.
Vn-Z.vn team tổng hợp nguồn Checkpoint
BBTok Malware thường được phân phối qua email lừa đảo, tải xuống độc hại hoặc các trang web bị hack. Khi BBTok Malware xâm nhập vào hệ thống, nó sẽ hoạt động một cách âm thầm, cố gắng trích xuất thông tin đăng nhập, chi tiết thẻ tín dụng và các thông tin cá nhân khác. Dữ liệu này sau đó được sử dụng bởi các cá nhân, tổ chức tội phạm mạng tiến hành các hoạt động gian lận, chẳng hạn như giao dịch trái phép hoặc trộm danh tính.
Các chuyên gia an ninh mạng từ checkpoint tuyên bố rằng kể từ năm 2020, họ đã quan sát thấy sự cải thiện đáng kể về TTP (kỹ thuật, chiến thuật và quy trình) được các nhà khai thác của phần mềm độc hại BBTok . Malware này đã được nâng cấp với nhiều lớp ẩn thân khiến các hệ thống an ninh khó phát hiện hơn.
BBTok đặc biệt nhắm mục tiêu đến người dùng ở Brazil và Mexico, sử dụng Living off the Land Binaries (LOLBins) tiên tiến đảm bảo sự kết hợp độc đáo giữa các chuỗi lây nhiễm. BBTok Sử dụng các kỹ thuật tạo hàng rào địa lý nhiều lớp và đã lây nhiễm vào các hệ thống ở các quốc gia la tinh này.
BBTok có thể sao chép giao diện của hơn 40 ngân hàng lớn ở Mexico và Brazil. BBTok sử dụng các chiến lược phishing lừa người dùng nhập mã bảo mật hoặc số thẻ thanh toán, chuyên tập trung vào các vụ xâm nhập ngân hàng.
Một yếu tố quan trọng trong hoạt động của BBTok là các chức năng từ phía máy chủ. Những thành phần này đóng vai trò quan trọng trong việc phục vụ các tải trọng độc hại, mà các hacker tấn công có thể phân phối mã độc thông qua các liên kết lừa đảo. Mỗi phiên được tạo ra độc đáo cho từng nạn nhân, tương tác từ phía người dùng. Checkpoint đã tóm lược những điểm chính của chiến dịch tấn công này như sau:
Có khả năng tạo ra các tải trọng độc đáo dựa trên hệ điều hành và vị trí của nạn nhân. - Duy trì một chuỗi lây nhiễm đa dạng cho các phiên bản khác nhau của Windows. - Sử dụng các loại tệp tin khác nhau để lây nhiễm, bao gồm ISO, ZIP, LNK, DOCX, JS và XLL. - Kết hợp mã nguồn mở, mã từ các diễn đàn hacking và các lỗ hổng mới phát hiện để tăng cường kho vũ khí của họ.
Các yếu tố quan trọng này bao gồm:
1. Khả năng tạo ra tải trọng độc đáo unique payloads : BBTok có khả năng tạo ra các tải trọng độc đáo dựa trên hệ điều hành và vị trí của nạn nhân. Điều này cho phép các nhân vật tấn công tùy chỉnh tải trọng để tương thích với môi trường cụ thể của nạn nhân, làm tăng khả năng thành công của cuộc tấn công.
2. Duy trì chuỗi lây nhiễm đa dạng: BBTok duy trì các chuỗi lây nhiễm đa dạng để phục vụ các phiên bản khác nhau của Windows. Điều này đảm bảo rằng phần mềm độc hại có khả năng tương thích với nhiều hệ điều hành và phiên bản Windows, mở rộng phạm vi tiềm năng của các cuộc tấn công.
3. Sử dụng nhiều loại tệp tin cho quá trình lây nhiễm: BBTok sử dụng nhiều loại tệp tin khác nhau để lây nhiễm, bao gồm ISO, ZIP, LNK, DOCX, JS và XLL. Việc sử dụng các định dạng tệp tin đa dạng như vậy giúp tăng khả năng xâm nhập vào hệ thống của nạn nhân và làm mờ đi các biểu hiện độc hại.
4. Kết hợp mã nguồn mở và mã từ diễn đàn hacking: BBTok sử dụng mã nguồn mở và mã từ các diễn đàn hacking để tăng cường khả năng tấn công. Bằng cách sử dụng các nguồn tài nguyên này, hacker có thể sử dụng các công cụ, kỹ thuật và lỗ hổng đã được phát triển bởi cộng đồng an ninh mạng để gia tăng sức mạnh của mình.
Malware BBTok, được viết bằng ngôn ngữ Delphi, sử dụng Visual Component Library (VCL) tạo ra các giao diện mô phỏng các nền tảng ngân hàng. Một mục tiêu mặc định như vậy là BBVA, BBTok sao chép giao diện của hệ thống BBVA nhằm đánh lừa người dùng không cẩn thận. Tuy nhiên, BBTok không hạn chế khả năng của nó chỉ trong việc gây lừa trực quan. Nó có thể thâm nhập sâu hơn vào hệ thống bằng cách cài đặt các tiện ích trình duyệt độc hại hoặc tiêm chủ động các tệp DLL.
Ngoài ra, giao diện của BBTok được lưu trữ trong một biểu mẫu có tên là "TFRMBG". Biểu mẫu này rất quan trọng trong việc tạo ra giao diện đánh lừa giả mạo. Hơn nữa, những hacekr đã đa dạng hóa chiến lược của họ bằng cách tìm kiếm thông tin liên quan đến Bitcoin trên các máy tính bị nhiễm, quét chuỗi có thông tin 'bitcoin', 'Electrum' và 'binance'.
Đáng chú ý, tất cả các hoạt động ngân hàng được khởi chạy bởi BBTok chỉ được thực hiện khi có lệnh trực tiếp từ máy chủ C2 (command and control). Không phải hệ thống bị nhiễm sẽ tự động trải qua các cuộc tấn công liên quan đến ngân hàng, cho thấy sự tiếp cận thận trọng của các hacker.
Sergey Shykevich, quản lý từ Check Point, cho biết rằng phần mềm độc hại liên quan đến ngân hàng vẫn là một vấn đề đáng lo ngại ở Latin America vì mục tiêu chính của nó là đánh cắp thông tin tài chính của nạn nhân.
"Trong khi trên toàn thế giới chúng ta thấy một xu hướng nhất quán của phần mềm độc hại đa năng có khả năng thực hiện nhiều hoạt động khác nhau (đánh cắp dữ liệu và thông tin đăng nhập, tải ransomware, v.v.), ở Latin America chúng ta vẫn thấy sự thống trị của phần mềm độc hại liên quan đến ngân hàng chỉ có mục tiêu là đánh cắp thông tin tài chính của nạn nhân."
"Số lượng cuộc tấn công mạng đã tăng 8% trong năm nay và không có dấu hiệu giảm tốc. Chúng tôi kêu gọi mọi người duy trì cảnh giác và hết sức thận trọng với các email đáng ngờ có đính kèm tập tin và chú ý đặc biệt đến nơi bạn nhập thông tin đăng nhập ngân hàng và thẻ thanh toán của mình".
Phần mềm độc hại ngân hàng BBTok là một sản phẩm của các cuộc tấn công không tạo tệp tin mà đã diễn ra ở Latin America vào năm 2020 và có rất nhiều chức năng, bao gồm tiêu diệt/đánh định các tiến trình, thao tác nội dung clipboard, kiểm soát bàn phím/chuột và các tính năng đặc trưng của phần mềm độc hại ngân hàng cũng như mô phỏng giao diện đăng nhập giả mạo.
Vn-Z.vn team tổng hợp nguồn Checkpoint
BÀI MỚI ĐANG THẢO LUẬN