Нов банков троянец TOITOIN

От май 2023 г. фирмите, работещи в региона на Латинска Америка (LATAM), са обект на нов банков троянец за Windows, наречен TOITOIN.

„Тази сложна кампания използва троянски кон, който следва многоетапна верига на заразяване, като използва специално създадени модули през всеки етап“, казват изследователите на Zscaler Нирадж Шивтаркар и Преет Камал в доклад, публикуван миналата седмица.

„Тези модули са специално разработени за извършване на злонамерени дейности, като инжектиране на вреден код в отдалечени процеси, заобикаляне на контрола на потребителските акаунти чрез COM Elevation Moniker и избягване на откриването от Sandboxes чрез хитри техники като рестартиране на системата и проверки на родителските процеси.“

Начинанието, състоящо се от шест етапа, има всички белези на добре подготвена последователност на атака, като започва с фишинг имейл, съдържащ вградена връзка, която сочи към ZIP архив, хостван на инстанция на Amazon EC2, за да се избегне откриването на базата на домейни.

Имейл съобщенията използват примамка на тема фактура, за да подмамят неволните получатели да ги отворят и по този начин да активират инфекцията. В ZIP архива се намира изпълним файл за изтегляне, който е проектиран така, че да установи постоянство чрез LNK файл в стартовата папка на Windows и да комуникира с отдалечен сървър, за да изтегли шест полезни товара на следващ етап под формата на MP3 файлове.

Изтеглящото устройство отговаря и за генерирането на Batch скрипт, който рестартира системата след 10-секунден таймаут. Това се прави, за да се „избегне засичането в пясъчна кутия, тъй като злонамерените действия се извършват само след рестартирането“, казват изследователите.

Сред изтеглените полезни товари е „icepdfeditor.exe“, валидно подписан двоичен файл от ZOHO Corporation Private Limited, който при изпълнение зарежда настрани измамен DLL („ffmpeg.dll“) с кодово име Krita Loader.

Зареждащото устройство от своя страна е предназначено да декодира JPG файл, изтеглен заедно с другите полезни товари, и да стартира друг изпълним файл, известен като модул InjectorDLL, който обръща втори JPG файл, за да образува така наречения модул ElevateInjectorDLL.

Впоследствие компонентът InjectorDLL се придвижва, за да инжектира ElevateInjectorDLL в процеса „explorer.exe“, след което се извършва заобикаляне на контрола на потребителските акаунти (UAC), ако е необходимо, за да се повишат привилегиите на процеса и троянецът TOITOIN се декриптира и инжектира в процеса „svchost.exe“.

„Тази техника позволява на зловредния софтуер да манипулира системни файлове и да изпълнява команди с повишени привилегии, което улеснява по-нататъшните злонамерени дейности“, обясняват изследователите.

TOITOIN разполага с възможности за събиране на системна информация, както и за събиране на данни от инсталираните уеб браузъри, като Google Chrome, Microsoft Edge и Internet Explorer, Mozilla Firefox и Opera. Освен това той проверява за наличието на Topaz Online Fraud Detection (OFD) – модул за борба с измамите, интегриран в банковите платформи в региона на LATAM.

Естеството на отговорите от сървъра за управление и контрол (C2) понастоящем не е известно поради факта, че сървърът вече не е достъпен.

„Чрез измамни фишинг имейли, сложни механизми за пренасочване и диверсификация на домейните участниците в групата успешно доставят своя зловреден товар“, казват изследователите. „Многоетапната верига на заразяване, наблюдавана в тази кампания, включва използването на специално разработени модули, които използват различни техники за избягване на откриване и методи за криптиране.“

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
Бъдете социални
Още по темата
03/10/2023

ФБР предупреждава за ръст н...

ФБР публикува съобщение за обществена услуга,...
02/10/2023

Рансъмуер банди вече използ...

Бандите за изнудване сега се насочват...
02/10/2023

Lazarus Group се представя ...

Идващата от  Северна Корея Lazarus Group...
Последно добавени
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
04/10/2023

Над 3 дузини зловредни паке...

Според констатации на Fortinet FortiGuard Labs...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!