Une redoutable campagne de phishing sévit actuellement, répandant une variante du malware bancaire BBTok sur les ordinateurs. Outre les fonctionnalités habituelles, cette version se démarque par de fausses interfaces bancaires extrêmement fidèles.
Il n’y a pas que les banques françaises à être visées par des malwares. En Amérique Latine, des pirates ciblent de nombreux clients avec une nouvelle variante de cheval de Troie. Celui-ci reproduit les interfaces de plus de 40 banques mexicaines et brésiliennes. La campagne vise à ce que les victimes révèlent leur authentification à deux facteurs et les détails de leur carte bancaire.
Tout comme cette campagne de phishing qui diffuse le boss final des malwares sur Microsoft Teams, les pirates commencent d’abord par du hameçonnage. Une fois le client d’une banque pris dans les mailles du filet, les pirates peuvent installer une variante du malware bancaire BBTok sur son ordinateur, comme le révèle les chercheurs de Check Point Software.
Le malware bancaire BBTok fait des ravages au Mexique
BBTok est actif en Amérique latine depuis 2020, les pirates l’ayant d’abord déployé par le biais d’attaques sans fichier. Pour s’installer, le malware utilise une combinaison unique de binaires “Living off the Land” (LOLBins), ce qui se traduit par de faibles taux de détection par les antivirus.
Les fonctionnalités du malware comprennent l’énumération et la destruction de processus, le contrôle du clavier et de la souris, ainsi que la manipulation du contenu du presse-papiers, énumère Check Point. C’est désormais une variante de ce malware qui circule. Cette version se distingue par l’ajout de fausses interfaces bancaires, qui sont si fidèles qu’elles “incitent les utilisateurs peu méfiants à divulguer des informations personnelles et financières“.
À lire > Les clients d’une banque retirent des sommes folles sans avoir l’argent sur leur compte
Les chercheurs ont ainsi découvert une base de données de victimes du logiciel malveillant BBTok au Mexique. Celle-ci comprenait plus de 150 entrées avec des informations sur les victimes, confirmant le succès de l’opération, qui est encore active aujourd’hui.
Les attaquants utiliseraient un géofencing multicouche, une tactique sophistiquée de ciblage et d’évasion, pour s’assurer que les victimes qui reçoivent les messages de phishing se trouvent uniquement au Brésil et au Mexique. Une manœuvre qui vise probablement à éviter de s’attirer l’attention des autorités de pays où la répression cyber est plus poussée. On le dira jamais assez, il faut faire attention au phishing, qui utilise des techniques toujours plus avancées.
Source : Check Point