BBtok-Trojaner

Von GoldSparrow in Trojans

Übersetzen Sie in:

Der BBtok-Trojaner ist eine neue Bank-Malware-Sorte, die hauptsächlich gegen Benutzer in Mexiko eingesetzt wurde. Die Bedrohung nutzt einen fileless Angriffsansatz, um die Geräte der Benutzer zu gefährden. Für seinen Ausbreitungsvektor verwendet BBtok Trojan Phishing-E-Mails mit waffengeschützten Anhängen, die aus einem komprimierten Paket bestehen, das bedrohliche lnk-Dateien liefert. Die E-Mail soll so legitim wie möglich erscheinen und versucht, den Empfänger dazu zu bringen, die mit Malware geschnürten lnk-Dateien zu starten, was zur Ausführung eines PowerShell-Skripts führt.

Bevor die Hauptkomponente des BBtok-Trojaners an das Gerät geliefert wird, müssen mehrere Einrichtungsphasen abgeschlossen werden. Wenn das anfängliche bedrohliche PowerShell-Skript aktiviert wird, lädt es zunächst eine in .Net geschriebene Loader-Nutzlast herunter und führt sie aus. Der Loader stellt dann den Persistenzmechanismus der Bedrohung bereit, indem er die Datei winmm.dll im Systemverzeichnis ersetzt. Bei 64-Bit-Architekturen führt das Loader-Modul auch eine Antiviren-Gegenmaßnahme aus. Durch die Nutzung des Open-Source-KDU (Kernel Driver Utility) wird versucht, die Registrierungseinträge gängiger Antivirensoftwarelösungen zu löschen, indem dank des von KDU bereitgestellten anfälligen Treibers auf beliebigen Kernelspeicher zugegriffen wird.

Bei der Bereitstellung auf dem gefährdeten Gerät richtet der BBtok-Trojaner ein Backdoor-Modul ein, mit dem die Angreifer verschiedene Bedrohungsvorgänge ausführen können. Durch den Empfang des entsprechenden Befehls kann die Malware-Bedrohung Tastatur- und Mausvorgänge simulieren und aufzeichnen, Programmfenster bearbeiten, alle Prozesse auflisten und bestimmte beenden, Inhalte in der Zwischenablage ersetzen, DWM (Desktop Window Manager) deaktivieren usw.

Das Hauptziel der Cyberkriminellen besteht jedoch darin, die Bankdaten der Zielbenutzer über gefälschte Fenster zur Erkennung der Banksicherheit zu erfassen, die durch die Bedrohung erstellt wurden. Wenn der Benutzer seine Anmeldeinformationen in das angezeigte Fenster eingibt, werden sie gesammelt und an den Command-and-Control-Server des Angreifers übertragen. Mehrere Bankinstitute aus der Region können sich als BBtok-Trojaner ausgeben - Santander, BanBajio, ScotiaBank, AFIRME, Banregio, Banco Azteca, Multiva, Inbursa, HSBC, Banorte, CitiBanamex, BBVA und andere.

Suche

Region ändern

BBtok-Trojaner

Kommentar abgeben

Im Trend

„YouPorn“-E-Mail-Betrug

Safe Search Eng

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...