От май 2023 г. фирмите, работещи в региона на Латинска Америка (LATAM), са обект на нов банков троянец за Windows, наречен TOITOIN.

„Тази сложна кампания използва троянски кон, който следва многоетапна верига на заразяване, като използва специално създадени модули през всеки етап“, казват изследователите на Zscaler Нирадж Шивтаркар и Преет Камал в доклад, публикуван миналата седмица.

„Тези модули са специално разработени за извършване на злонамерени дейности, като инжектиране на вреден код в отдалечени процеси, заобикаляне на контрола на потребителските акаунти чрез COM Elevation Moniker и избягване на откриването от Sandboxes чрез хитри техники като рестартиране на системата и проверки на родителските процеси.“

Начинанието, състоящо се от шест етапа, има всички белези на добре подготвена последователност на атака, като започва с фишинг имейл, съдържащ вградена връзка, която сочи към ZIP архив, хостван на инстанция на Amazon EC2, за да се избегне откриването на базата на домейни.

Имейл съобщенията използват примамка на тема фактура, за да подмамят неволните получатели да ги отворят и по този начин да активират инфекцията. В ZIP архива се намира изпълним файл за изтегляне, който е проектиран така, че да установи постоянство чрез LNK файл в стартовата папка на Windows и да комуникира с отдалечен сървър, за да изтегли шест полезни товара на следващ етап под формата на MP3 файлове.

Изтеглящото устройство отговаря и за генерирането на Batch скрипт, който рестартира системата след 10-секунден таймаут. Това се прави, за да се „избегне засичането в пясъчна кутия, тъй като злонамерените действия се извършват само след рестартирането“, казват изследователите.

Сред изтеглените полезни товари е „icepdfeditor.exe“, валидно подписан двоичен файл от ZOHO Corporation Private Limited, който при изпълнение зарежда настрани измамен DLL („ffmpeg.dll“) с кодово име Krita Loader.

Зареждащото устройство от своя страна е предназначено да декодира JPG файл, изтеглен заедно с другите полезни товари, и да стартира друг изпълним файл, известен като модул InjectorDLL, който обръща втори JPG файл, за да образува така наречения модул ElevateInjectorDLL.

Впоследствие компонентът InjectorDLL се придвижва, за да инжектира ElevateInjectorDLL в процеса „explorer.exe“, след което се извършва заобикаляне на контрола на потребителските акаунти (UAC), ако е необходимо, за да се повишат привилегиите на процеса и троянецът TOITOIN се декриптира и инжектира в процеса „svchost.exe“.

„Тази техника позволява на зловредния софтуер да манипулира системни файлове и да изпълнява команди с повишени привилегии, което улеснява по-нататъшните злонамерени дейности“, обясняват изследователите.

TOITOIN разполага с възможности за събиране на системна информация, както и за събиране на данни от инсталираните уеб браузъри, като Google Chrome, Microsoft Edge и Internet Explorer, Mozilla Firefox и Opera. Освен това той проверява за наличието на Topaz Online Fraud Detection (OFD) – модул за борба с измамите, интегриран в банковите платформи в региона на LATAM.

Естеството на отговорите от сървъра за управление и контрол (C2) понастоящем не е известно поради факта, че сървърът вече не е достъпен.

„Чрез измамни фишинг имейли, сложни механизми за пренасочване и диверсификация на домейните участниците в групата успешно доставят своя зловреден товар“, казват изследователите. „Многоетапната верига на заразяване, наблюдавана в тази кампания, включва използването на специално разработени модули, които използват различни техники за избягване на откриване и методи за криптиране.“

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
Бъдете социални
Още по темата
21/01/2025

Мъж от Вашингтон признава м...

Мъж от Вашингтон е признал пред...
20/01/2025

HPE разследва твърдения за ...

HPE започна разследване, след като известен...
19/01/2025

Фалшивият Брад Пит е разкри...

Маруан Уараб, бивш измамник и киберпрестъпник,...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!