【安全资讯】网络犯罪分子瞄准拉美银行：Mekotio和BBTok引领攻击

概要：

拉丁美洲的网络钓鱼骗局正在迅速演变，重新引入了臭名昭著的银行木马如Mekotio、BBTok和Grandoreiro。根据趋势科技的最新报告，这些网络犯罪活动正在加剧，使用新的创新钓鱼策略，诱使受害者下载旨在窃取敏感银行凭证的恶意软件。

主要内容：

近期，网络犯罪分子越来越多地针对拉丁美洲发起钓鱼攻击，部署银行木马。Mekotio、BBTok和Grandoreiro这些以金融欺诈能力著称的木马在这些行动中处于前沿。传统上，这些木马主要集中在巴西和阿根廷等地区，但新的情报显示，它们的影响范围正在扩展。主要目标是制造业、零售和金融服务行业的员工。制造业公司占攻击的26%，零售业占18%，技术行业占16%，金融服务占8%。

网络犯罪分子利用两种主要的钓鱼诱饵来欺骗受害者：商业交易骗局和司法相关的钓鱼骗局。商业交易骗局通过伪装成官方商业通信的电子邮件，诱使用户点击恶意链接或下载有害附件，如PDF或ZIP文件。一旦下载，木马会感染用户的设备，使攻击者能够窃取敏感的银行数据或执行未经授权的交易。司法相关的钓鱼骗局则利用法律后果的恐惧，受害者会收到伪造的交通违规邮件，敦促他们点击链接解决问题，点击链接会导致恶意软件被悄悄下载到受害者的系统中。

Mekotio最早在2018年被发现，主要针对巴西和墨西哥、智利、阿根廷等西班牙语国家。然而，最近的报告显示，Mekotio现在正在扩大其地理范围，新的变种设计旨在逃避更广泛地区的检测，包括南欧部分地区。最新变种使用更复杂的PowerShell脚本来逃避检测。当受害者点击钓鱼链接时，会下载一个ZIP文件，包含一个混淆的批处理文件，触发一个PowerShell脚本作为第二阶段下载器。脚本执行侦察检查，收集有关受感染系统的信息，如公共IP地址、用户地理位置和安装的防病毒软件详情。

BBTok于2020年首次被检测到，主要针对拉丁美洲金融部门，采用高度先进的技术进行凭证盗窃和数据外泄。最近的攻击中，BBTok开始滥用合法的Windows实用程序命令来逃避检测。当受害者点击钓鱼邮件中的恶意链接时，会下载一个ISO文件，包含恶意组件，包括启动感染链的LNK文件。木马巧妙地使用MSBuild.exe，一个合法的Windows工具，从XML文件加载其恶意负载。通过使用受信任的Windows实用程序，BBTok可以在不触发防病毒警报的情况下执行攻击。一旦感染过程开始，木马会连接到攻击者的命令和控制服务器，使攻击者能够控制受感染的系统，外泄数据并启动进一步的攻击阶段。