David García 07/01/21 3 min read

BBTOK: Malware centrado en el robo de credenciales de usuarios

BBtok es un nuevo troyano bancario cuyos autores parecen estar centrados, al menos de momento, en la infección y robo de credenciales de usuarios mexicanos. En el caso de que la víctima que ejecuta el dropper enviado por correo electrónico no utilice una conexión mexicana, éste no continuará con la descarga e instalación del segundo dropper y del resto de módulos.

En base a las cadenas en portugués encontradas en el binario del troyano, el uso de Delphi como lenguaje principal del banker y el uso de librerías ya utilizadas en otro malware bancario de origen brasileño como Grandoreiro, hacen pensar que este nuevo malware podría haber sido desarrollado por atacantes brasileños.

Tampoco podemos descartar que se trate de una nueva variante de Grandoreiro, desarrollada por los mismos atacantes e incluso que puedan estar pasando a un modelo de negocio de Malware-as-a-Service (MaaS), en el que comercializan el malware para que sean sus compradores los que lo exploten infectando a los usuarios finales. De hecho, es probable que BBtok no sea una nueva familia como tal, y en realidad se trate de una nueva versión de Grandoreiro.

Por el momento el interés de los atacantes parece estar en usuarios mexicanos, pero al igual que ha ocurrido en el pasado con otras familias, como Pazera/Mekoito o el propio Grandoreiro, es probable que con el tiempo comencemos a ver nuevas versiones en las que se amplía la lista de entidades afectadas, incluyendo entidades de otros países latinoamericanos y España. Debemos estar vigilantes ante estas nuevas versiones que seguramente llegarán en los próximos meses.

Si quieres saber todos los detalles no dudes en leer nuestro informe detallado.

avatar

David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.