Uma nova variante do malware bancário BBTok foi desenvolvida exclusivamente para empresas no Brasil. O ataque começa com um e-mail que contém uma imagem ISO, camuflada como um documento fiscal legítimo. Ao ser aberta, essa imagem executa um código malicioso em máquinas infectadas. O malware BBTok utiliza uma técnica chamada “AppDomain Manager Injection”, que permite a execução avançada de código malicioso. Esse método é capaz de compilar código C# diretamente no dispositivo comprometido, sem levantar suspeitas. O código é disfarçado em arquivos XML, tornando sua análise mais complexa.
Além disso, os atacantes exploram vulnerabilidades em arquivos LNK e utilizam o ícone de PDF para enganar as vítimas, fazendo-as acreditar que estão abrindo um documento inofensivo. Ao executar o arquivo, o malware inicia suas ações, exibindo um falso documento fiscal enquanto carrega seu código malicioso em segundo plano. A carga maliciosa também cria uma persistência no sistema, utilizando técnicas de bypass de UAC (User Account Control) e alterando configurações do Windows para garantir que o malware permaneça ativo e indetectável.
A versão mais recente do BBTok inclui um arquivo DLL obfuscado chamado Trammy.dll, que impede a leitura de seus códigos. Pesquisadores conseguiram deobfuscar a DLL, permitindo a compreensão do funcionamento interno do malware. Uma das táticas usadas pelo BBTok é verificar a localização do IP da vítima, garantindo que o ataque seja executado apenas em máquinas localizadas no Brasil. O BBTok se destaca por sua capacidade de escapar de ferramentas automáticas de detecção, utilizando métodos avançados de ofuscação e criptografia.