הונאות דיוג מתפתחות במהירות באמריקה הלטינית ומחזירות לפעילות פלילית טרויאנים בנקאיים הידועים ביכולות ההונאה הפיננסית שלהם: Mekotio, BBTok ו- Grandoreiro. על פי דיווח של Trend Micro, התגברו מתקפות הסייבר של פושעי סייבר המשתמשים בטקטיקות דיוג חדשות המפתות קורבנות להוריד למערכת המחשוב נוזקות שמטרתן לגנוב אישורי בנק רגישים. הטרויאנים הללו התמקדו בעבר באזורים כמו ברזיל וארגנטינה, אך מידע מודיעיני חדש מצביע על כך שטווח ההגעה שלהם מתרחב. המטרות העיקריות? עובדים בתעשיות ייצור, קמעונאות ושירותים פיננסיים. חברות ייצור היוו 26% מהמתקפות, ואחריהן קמעונאות 18%, טכנולוגיה 16% ושירותים פיננסיים 8%.
נוזקת Mekotio, שהתגלתה ב- 2018, הופעלה בעיקר לביצוע מתקפות סייבר בברזיל והמדינות דוברות ספרדית כמו מקסיקו, צ'ילה וארגנטינה. עם זאת, מצביעים דיווחים אחרונים על כך ש- Mekotio מרחיבה כעת את הטווח הגיאוגרפי שלה, עם גרסה חדשה שנועדה להתחמק מזיהוי במגוון רחב יותר של מיקומים, כולל חלקים בדרום אירופה. בגרסה האחרונה שלה משתמשת Mekotio בסקריפט PowerShell מתוחכם יותר כדי להתחמק מזיהוי. כאשר קורבן לוחץ על קישור, הוא מוריד למערכת המחשוב שלו קובץ ZIP אשר מכיל קובץ אצווה מעורפל, שמפעיל סקריפט PowerShell הפועל בתור הורדת שלב שני. הסקריפט מבצע סיור כדי לאסוף מידע על מערכת המחשוב שנפרצה, כגון כתובת ה- IP הציבורית, המיקום הגיאוגרפי של המשתמש ופרטים על תוכנת אנטי-וירוס מותקנת. בניגוד לגרסאות קודמות, אין הגרסה החדשה הזו של Mekotio מגבילה את פעולותיה בהתבסס על המדינה בה ממוקמת מערכת המחשוב שנפגעה, דבר המצביע על כך שפושעי סייבר מחפשים להרחיב את בסיס ההתקפה שלהם ברחבי העולם. לאחר השלמת שלב הסיור, מורידה הנוזקה קובץ ZIP סופי המכיל את המטען, אשר לאחר מכן מופעל על המחשב של הקורבן, מה שמאפשר לנוזקה לגנוב בהתמדה נתונים פיננסיים.
זוהתה לראשונה בשנת 2020, מתמקדת BBTok במגזר הפיננסי של אמריקה הלטינית ומשתמשת בטכניקות מתקדמות ביותר לגניבת אישורים וחילוץ נתונים. במתקפות הסייבר האחרונות החלה BBTok להשתמש לרעה בפקודות עזר לגיטימיות של Windows כדי להתחמק מזיהוי. כאשר לוחץ קורבן המתקפה על קישור זדוני באימייל דיוג שנשלח אליו, הוא מוריד למחשבו קובץ ISO המכיל רכיבים זדוניים כולל קבצי LNK המתניעים את שרשרת ההדבקה. הטרויאני משתמש בחוכמה ב- MSBuild.exe – כלי לגיטימי של Windows, כדי לטעון את המטען הזדוני שלו מקובץ XML. באמצעות כלי עזר מהימנים של Windows, יכול BBTok לבצע את התקפתו מבלי להפעיל אזעקות אנטי וירוס. ברגע שמתחיל תהליך ההדבקה, מתחבר הטרויאני לשרת הפיקוד והבקרה של פושעי הסייבר ומאפשר להם לשלוט במערכת המחשוב שנפרצה, לסנן נתונים וליזום שלבים נוספים של המתקפה. תהליך זה הופך את BBTok לאחד האיומים האימתניים ביותר באזור.
