Check Point Software Technologiesはこのほど、「Behind the Scenes of BBTok: Analyzing a Banker’s Server Side Components - Check Point Research」において、ラテンアメリカにてバンキング型トロイの木馬「BBTok」の新しい亜種を運用および展開するサイバー攻撃を発見したと報じた。
Check Point Researchによると、BBTokにはバンキング型トロイの木馬としての機能と複数のラテンアメリカの銀行のインタフェースを複製する機能があるという。攻撃者はBBTokを使用して開いているウィンドウとブラウザのタイトルを繰り返しスキャンすることで被害者の契約している銀行を探し当て、偽の銀行のログインページをシミュレートして銀行の認証情報を窃取するとされている。
BBTokは2020年に初めて確認されたバンキング型トロイの木馬。メキシコとブラジルの被害者のみを標的としているとされ、発見以来、継続して活発に活動していることが確認されている。攻撃は主に添付ファイル付きフィッシングメールを使って感染させる形で行われるが、今回発見された攻撃では、添付ファイルではなくフィッシングリンクによりコマンド&コントロール(C2: Command and Control)サーバからマルウェアを配布していることが確認されたという。
Check Point Researchは、攻撃者のサーバ側コンポーネントを分析している。分析の結果、発見されたデータベースに登録されたエントリから150人以上の被害者がいると推測されている。発見されたサーバ側のコードにはポルトガル語のコメントが多数含まれていたことから、攻撃者はブラジル人である可能性が高いと考えられている。
今回の調査では、珍しく攻撃者が時間とともに進化していく様子を間近に観察でき、脅威アクタが新しいトレンドを追いかけ、斬新なアイデアなどを試していることを垣間見たとのこと。Check Point Researchは今回の分析で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。