Търсене
Close this search box.

Нов банков троянец TOITOIN

От май 2023 г. фирмите, работещи в региона на Латинска Америка (LATAM), са обект на нов банков троянец за Windows, наречен TOITOIN.

„Тази сложна кампания използва троянски кон, който следва многоетапна верига на заразяване, като използва специално създадени модули през всеки етап“, казват изследователите на Zscaler Нирадж Шивтаркар и Преет Камал в доклад, публикуван миналата седмица.

„Тези модули са специално разработени за извършване на злонамерени дейности, като инжектиране на вреден код в отдалечени процеси, заобикаляне на контрола на потребителските акаунти чрез COM Elevation Moniker и избягване на откриването от Sandboxes чрез хитри техники като рестартиране на системата и проверки на родителските процеси.“

Начинанието, състоящо се от шест етапа, има всички белези на добре подготвена последователност на атака, като започва с фишинг имейл, съдържащ вградена връзка, която сочи към ZIP архив, хостван на инстанция на Amazon EC2, за да се избегне откриването на базата на домейни.

Имейл съобщенията използват примамка на тема фактура, за да подмамят неволните получатели да ги отворят и по този начин да активират инфекцията. В ZIP архива се намира изпълним файл за изтегляне, който е проектиран така, че да установи постоянство чрез LNK файл в стартовата папка на Windows и да комуникира с отдалечен сървър, за да изтегли шест полезни товара на следващ етап под формата на MP3 файлове.

Изтеглящото устройство отговаря и за генерирането на Batch скрипт, който рестартира системата след 10-секунден таймаут. Това се прави, за да се „избегне засичането в пясъчна кутия, тъй като злонамерените действия се извършват само след рестартирането“, казват изследователите.

Сред изтеглените полезни товари е „icepdfeditor.exe“, валидно подписан двоичен файл от ZOHO Corporation Private Limited, който при изпълнение зарежда настрани измамен DLL („ffmpeg.dll“) с кодово име Krita Loader.

Зареждащото устройство от своя страна е предназначено да декодира JPG файл, изтеглен заедно с другите полезни товари, и да стартира друг изпълним файл, известен като модул InjectorDLL, който обръща втори JPG файл, за да образува така наречения модул ElevateInjectorDLL.

Впоследствие компонентът InjectorDLL се придвижва, за да инжектира ElevateInjectorDLL в процеса „explorer.exe“, след което се извършва заобикаляне на контрола на потребителските акаунти (UAC), ако е необходимо, за да се повишат привилегиите на процеса и троянецът TOITOIN се декриптира и инжектира в процеса „svchost.exe“.

„Тази техника позволява на зловредния софтуер да манипулира системни файлове и да изпълнява команди с повишени привилегии, което улеснява по-нататъшните злонамерени дейности“, обясняват изследователите.

TOITOIN разполага с възможности за събиране на системна информация, както и за събиране на данни от инсталираните уеб браузъри, като Google Chrome, Microsoft Edge и Internet Explorer, Mozilla Firefox и Opera. Освен това той проверява за наличието на Topaz Online Fraud Detection (OFD) – модул за борба с измамите, интегриран в банковите платформи в региона на LATAM.

Естеството на отговорите от сървъра за управление и контрол (C2) понастоящем не е известно поради факта, че сървърът вече не е достъпен.

„Чрез измамни фишинг имейли, сложни механизми за пренасочване и диверсификация на домейните участниците в групата успешно доставят своя зловреден товар“, казват изследователите. „Многоетапната верига на заразяване, наблюдавана в тази кампания, включва използването на специално разработени модули, които използват различни техники за избягване на откриване и методи за криптиране.“

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
Бъдете социални
Още по темата
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
26/04/2024

Банковият троянец Godfather...

Операторите на мобилен зловреден софтуер като...
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!