BBTok Banker IOCs

security IOC
Опубликовано

Недавно компания Check Point Research обнаружила активную кампанию по эксплуатации и развертыванию нового варианта банкера BBTok в Латинской Америке. Банкир обладает широким набором функциональных возможностей, включая перечисление и уничтожение процессов, управление клавиатурой и мышью, манипулирование содержимым буфера обмена.

Наряду с этим BBTok содержит классические возможности банковского троянца, имитируя поддельные страницы входа в самые разные банки, работающие в Мексике и Бразилии.

С момента первого публичного раскрытия информации о BBTok в 2020 году операторы BBTok применяли новые TTP, при этом для первичного заражения по-прежнему использовались фишинговые письма с вложениями. Недавно Check Point заметила признаки того, что банкер распространяется через фишинговые ссылки, а не в виде вложений в само письмо.
При переходе по вредоносной ссылке на компьютеры жертв загружается ISO или ZIP-файл. В них содержится LNK-файл, который запускает цепочку заражения и приводит к установке банкера при открытии ложного документа. Хотя на первый взгляд этот процесс кажется довольно простым, Check Point обнаружила свидетельства того, что за кулисами происходит много интересного.

Анализируя вновь выявленные ссылки, Check Point обнаружила внутренние ресурсы сервера, используемые для распространения вредоносной программы. Изучив их, стало очевидно, что злоумышленник поддерживает гораздо более широкий спектр цепочек заражения, генерируемых по требованию при каждом клике и подстраивающихся под операционную систему и местоположение жертвы.

Indicators of Compromise

IPv4

  • 147.124.213.152
  • 173.249.196.195
  • 176.31.159.196
  • 216.250.251.196

Domains

  • danfe.is-certified.com
  • rendinfo.shop
  • sodkvsodkv.supplier.serveftp.net

SHA256

  • 07028ec2a727330a3710dba8940aa97809f47e75e1fd9485d8fc52a3c018a128
  • 095b793d60ce5b15fac035e03d41f1ddd2e462ec4fa00ccf20553af3c09656f6
  • 3b43de8555d8f413a797e19c414a55578882ad7bbcb6ad7604bb1818dd3eedcd
  • 5ad42b39f368a25a00d9fe15fa5326101c43bf4c296b64c1556bc49beeee9ae1
  • 5c59cd977890ed32eb60caca8dc2c9a667cff4edc2b12011854310474d5f405d
  • 808e0ddccd5ae4b8cbc4747a5ee044356b7aa67354724519d1e54efb2fc4f6ec
  • 825a5c221cb8247831745d44b424954c99e9023843c96def6baf84ccb62e9e5f
  • 8e65383a91716b87651d3fa60bc39967927ab01b230086e3c5a2f9a096fc6c57
  • 9d91437a3bfd37f68cc3e2e2acfbbbbfffa3a73d8f3f466bc3751f48c6e1b40e
  • b198da893972df5b0f2cbcec859c0b6c88bb3cf285477b672b4f40c104bcbd36
  • be35b48dfec1cc2fc046423036fa76fc9096123efadac065c80361c45f401d3c
  • cd22e14f4fa6716cfc9964fdead813d2ffb80d6dd716e2114f987ff36cc5e872
  • d9b2450e4b91739c39981ab34ec7a3aeb33fb3b75deb45020b9c16596a97a219
  • dbeb4960cdb04999c1a5a3360c9112e3bc1de79534d7ac9027b7fdb7798968a6
  • e5e89824f52816d786aaac4ebdb07a898a827004a94bee558800e4a0e29b083a
  • f83b33acfd9390309eefb4a17b42e89dcdbe759757844a3d9b474d570ddbab86
  • fb7a958b99275caa0c04be2a821b2a821bb797c4be6bd049fa09144de349ea41
Похожие записи:
  1. Twisted Panda APT IOCs
  2. Nitrokod CryptoMiner IOCs
  3. DangerousSavanna APT IOCs
  4. Scarlet Mimic APT IOCs
  5. Sharp Panda APT IOCs
Banker BBTok Check Point Research
Добавить комментарий