От май 2023 г. фирмите, работещи в региона на Латинска Америка (LATAM), са обект на нов банков троянец за Windows, наречен TOITOIN.

„Тази сложна кампания използва троянски кон, който следва многоетапна верига на заразяване, като използва специално създадени модули през всеки етап“, казват изследователите на Zscaler Нирадж Шивтаркар и Преет Камал в доклад, публикуван миналата седмица.

„Тези модули са специално разработени за извършване на злонамерени дейности, като инжектиране на вреден код в отдалечени процеси, заобикаляне на контрола на потребителските акаунти чрез COM Elevation Moniker и избягване на откриването от Sandboxes чрез хитри техники като рестартиране на системата и проверки на родителските процеси.“

Начинанието, състоящо се от шест етапа, има всички белези на добре подготвена последователност на атака, като започва с фишинг имейл, съдържащ вградена връзка, която сочи към ZIP архив, хостван на инстанция на Amazon EC2, за да се избегне откриването на базата на домейни.

Имейл съобщенията използват примамка на тема фактура, за да подмамят неволните получатели да ги отворят и по този начин да активират инфекцията. В ZIP архива се намира изпълним файл за изтегляне, който е проектиран така, че да установи постоянство чрез LNK файл в стартовата папка на Windows и да комуникира с отдалечен сървър, за да изтегли шест полезни товара на следващ етап под формата на MP3 файлове.

Изтеглящото устройство отговаря и за генерирането на Batch скрипт, който рестартира системата след 10-секунден таймаут. Това се прави, за да се „избегне засичането в пясъчна кутия, тъй като злонамерените действия се извършват само след рестартирането“, казват изследователите.

Сред изтеглените полезни товари е „icepdfeditor.exe“, валидно подписан двоичен файл от ZOHO Corporation Private Limited, който при изпълнение зарежда настрани измамен DLL („ffmpeg.dll“) с кодово име Krita Loader.

Зареждащото устройство от своя страна е предназначено да декодира JPG файл, изтеглен заедно с другите полезни товари, и да стартира друг изпълним файл, известен като модул InjectorDLL, който обръща втори JPG файл, за да образува така наречения модул ElevateInjectorDLL.

Впоследствие компонентът InjectorDLL се придвижва, за да инжектира ElevateInjectorDLL в процеса „explorer.exe“, след което се извършва заобикаляне на контрола на потребителските акаунти (UAC), ако е необходимо, за да се повишат привилегиите на процеса и троянецът TOITOIN се декриптира и инжектира в процеса „svchost.exe“.

„Тази техника позволява на зловредния софтуер да манипулира системни файлове и да изпълнява команди с повишени привилегии, което улеснява по-нататъшните злонамерени дейности“, обясняват изследователите.

TOITOIN разполага с възможности за събиране на системна информация, както и за събиране на данни от инсталираните уеб браузъри, като Google Chrome, Microsoft Edge и Internet Explorer, Mozilla Firefox и Opera. Освен това той проверява за наличието на Topaz Online Fraud Detection (OFD) – модул за борба с измамите, интегриран в банковите платформи в региона на LATAM.

Естеството на отговорите от сървъра за управление и контрол (C2) понастоящем не е известно поради факта, че сървърът вече не е достъпен.

„Чрез измамни фишинг имейли, сложни механизми за пренасочване и диверсификация на домейните участниците в групата успешно доставят своя зловреден товар“, казват изследователите. „Многоетапната верига на заразяване, наблюдавана в тази кампания, включва използването на специално разработени модули, които използват различни техники за избягване на откриване и методи за криптиране.“

Източник: The Hacker News

Подобни публикации

18 април 2025

Глобална компания за събития стана жертва на се...

Legends International, водещ доставчик на услуги за спортни, развле...
17 април 2025

Китайска APT група използва усъвършенстван бекд...

Нови версии на бекдора BrickStorm, използван при компрометирането н...
17 април 2025

Крис Кребс напуска SentinelOne заради войната с...

Бившият директор на Агенцията за киберсигурност и инфраструктурна с...
17 април 2025

Apple пусна спешни ъпдейти за iOS и macOS

На 17 април (сряда) Apple публикува извънредни ъпдейти за операцион...
17 април 2025

Starlink превзе интернет пазара в Нигерия, но н...

В началото на 2023 г. Нигерия стана първата африканска държава, в к...
16 април 2025

CISA гарантира непрекъсната работа на програмат...

Американската Агенция за киберсигурност и сигурност на инфраструкту...
16 април 2025

Програмата CVE може да остане без финансиране

На 16 април 2025 г. изтича финансирането от страна на федералното п...
Бъдете социални
Още по темата
31/03/2025

Банковият троянец "Crocodil...

Новоидентифициран троянски кон за мобилно банкиране,...
27/03/2025

И Трой Хънт стана жертва на...

Вчера Трой Хънт качи публикация в...
16/03/2025

Злонамерени приложения Adob...

Киберпрестъпниците популяризират зловредни приложения Microsoft OAuth,...
Последно добавени
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
17/04/2025

Крис Кребс напуска Sentinel...

Бившият директор на Агенцията за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!