BBTOK: Malware brasileño centrado en la infección y robo de credenciales de usuarios mexicanos


BBtok es un nuevo troyano bancario cuyos autores parecen estar centrados, al menos de momento, en la infección y robo de credenciales de usuarios mexicanos. En el caso de que la víctima que ejecuta el dropper enviado por correo electrónico no utilice una conexión mexicana, éste no continuará con la descarga e instalación del segundo dropper y del resto de módulos.

En base a las cadenas en portugués encontradas en el binario del troyano, el uso de Delphi como lenguaje principal del banker y el uso de librerías ya utilizadas en otro malware bancario de origen brasileño como Grandoreiro, hacen pensar que este nuevo malware podría haber sido desarrollado por atacantes brasileños.

Tampoco podemos descartar que se trate de una nueva variante de Grandoreiro, desarrollada por los mismos atacantes e incluso que puedan estar pasando a un modelo de negocio de Malware-as-a-Service (MaaS), en el que comercializan el malware para que sean sus compradores los que lo exploten infectando a los usuarios finales. De hecho, es probable que BBtok no sea una nueva familia como tal, y en realidad se trate de una nueva versión de Grandoreiro.

Por el momento el interés de los atacantes parece estar en usuarios mexicanos, pero al igual que ha ocurrido en el pasado con otras familias, como Pazera/Mekoito o el propio Grandoreiro, es probable que con el tiempo comencemos a ver nuevas versiones en las que se amplía la lista de entidades afectadas, incluyendo entidades de otros países latinoamericanos y España. Debemos estar vigilantes ante estas nuevas versiones que seguramente llegarán en los próximos meses.

Si quieres saber todos los detalles no dudes en leer nuestro informe detallado.

bbtok-brazilian-malware-cover-ES

BBTOK: Brazilian malware focused on infection and credential theft of Mexican users

En el último mes se ha detectado un nuevo malware bancario que está afectando a usuarios de México, y que, por tanto, está afectando a entidades bancarias que operan en dicho país, robando credenciales bancarias de sus usuarios para finalmente robar sus ahorros.

Durante su análisis se han descubierto cadenas de texto con palabras en portugués, además, se ha detectado el uso de la misma librería Delphi que utiliza Grandoreiro, otro troyano bancario de origen brasileño.

 

Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

 

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 
Te recomendamos que leas...
 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo