- 20,335
- 46
- 8 Ноя 2022
Клиенты банков сами предоставили хакерам данные своих счетов.
Злоумышленники атакуют сотни банковских клиентов в Латинской Америке с новой версией существующего банковского трояна, который имитирует интерфейсы более чем 40 мексиканских и бразильских банков. Цель кампании – обмануть жертв, чтобы они предоставили данные двухфакторной аутентификации ( 2FA ) и данные платежной карты, что позволит злоумышленникам захватить их банковские счета.
Исследователи из компании Check Point Software раскрыли , что основной метод распространения вредоносного ПО — фишинговые атаки. В рамках кампании злоумышленники активно распространяют вариант банковского трояна BBTok, нацеленный на пользователей из Мексики и Бразилии.
Злоумышленники разработали сложные методы заражения различных версий Windows, чтобы расширить масштабы атак. Киберпреступники используют уникальные техники, что затрудняет обнаружение вредоносного ПО. В том числе, как заявили специалисты Check Point, хакеры используют «уникальную комбинацию Living off the Land Binaries ( LOLBins ).
Кроме того, киберпреступники применяют продвинутые методы геозонирования (geofencing), чтобы убедиться, что жертвы, получающие фишинговые сообщения, находятся только в Бразилии и Мексике.
Одной из ключевых особенностей кампании является использование поддельных интерфейсов для более чем 40 банков в Мексике и Бразилии. Интерфейсы настолько правдоподобны, что многие пользователи, не подозревая обмана, предоставляют свои личные и финансовые данные.
Примеры поддельных интерфейсов сайтов
Троян BBTok был впервые обнаружен в Латинской Америке в 2020 году. Его функционал включает в себя управление процессами, клавиатурой и мышью, а также возможность манипулировать содержимым буфера обмена. Исследователи Check Point обнаружили последний вариант трояна, анализируя серверные ресурсы злоумышленников.
В ходе исследования была обнаружена база данных жертв трояна BBTok в Мексике, содержащая более 150 записей с информацией о жертвах. Это подтверждает успешность операции злоумышленников, которая, по-видимому, продолжается.
Напомним, что в августе исследователи Trend Micro обнаружили новый банковский троян MMRat , нацеленный на пользователей Android в Юго-Восточной Азии. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">MMRat распространяется через фишинговые сайты, маскирующиеся под официальные магазины приложений. Для улучшения производительности при передаче больших объёмов данных троян использует специально разработанный </span>C2<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">-протокол на основе </span>Protobuf<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">.</span>
<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Также отмечалось, что </span>новый банковский троян для Android под названием Hook базируется на другом некогда известном трояне ERMAC. Эксперты из NCC Group утверждают, что исходный код ERMAC был использован как основа для Hook .
Злоумышленники атакуют сотни банковских клиентов в Латинской Америке с новой версией существующего банковского трояна, который имитирует интерфейсы более чем 40 мексиканских и бразильских банков. Цель кампании – обмануть жертв, чтобы они предоставили данные двухфакторной аутентификации ( 2FA ) и данные платежной карты, что позволит злоумышленникам захватить их банковские счета.
Исследователи из компании Check Point Software раскрыли , что основной метод распространения вредоносного ПО — фишинговые атаки. В рамках кампании злоумышленники активно распространяют вариант банковского трояна BBTok, нацеленный на пользователей из Мексики и Бразилии.
Злоумышленники разработали сложные методы заражения различных версий Windows, чтобы расширить масштабы атак. Киберпреступники используют уникальные техники, что затрудняет обнаружение вредоносного ПО. В том числе, как заявили специалисты Check Point, хакеры используют «уникальную комбинацию Living off the Land Binaries ( LOLBins ).
Кроме того, киберпреступники применяют продвинутые методы геозонирования (geofencing), чтобы убедиться, что жертвы, получающие фишинговые сообщения, находятся только в Бразилии и Мексике.
Одной из ключевых особенностей кампании является использование поддельных интерфейсов для более чем 40 банков в Мексике и Бразилии. Интерфейсы настолько правдоподобны, что многие пользователи, не подозревая обмана, предоставляют свои личные и финансовые данные.
Примеры поддельных интерфейсов сайтов
Троян BBTok был впервые обнаружен в Латинской Америке в 2020 году. Его функционал включает в себя управление процессами, клавиатурой и мышью, а также возможность манипулировать содержимым буфера обмена. Исследователи Check Point обнаружили последний вариант трояна, анализируя серверные ресурсы злоумышленников.
В ходе исследования была обнаружена база данных жертв трояна BBTok в Мексике, содержащая более 150 записей с информацией о жертвах. Это подтверждает успешность операции злоумышленников, которая, по-видимому, продолжается.
Напомним, что в августе исследователи Trend Micro обнаружили новый банковский троян MMRat , нацеленный на пользователей Android в Юго-Восточной Азии. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">MMRat распространяется через фишинговые сайты, маскирующиеся под официальные магазины приложений. Для улучшения производительности при передаче больших объёмов данных троян использует специально разработанный </span>C2<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">-протокол на основе </span>Protobuf<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">.</span>
<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Также отмечалось, что </span>новый банковский троян для Android под названием Hook базируется на другом некогда известном трояне ERMAC. Эксперты из NCC Group утверждают, что исходный код ERMAC был использован как основа для Hook .
- Источник новости
- www.securitylab.ru
