От май 2023 г. фирмите, работещи в региона на Латинска Америка (LATAM), са обект на нов банков троянец за Windows, наречен TOITOIN.
„Тази сложна кампания използва троянски кон, който следва многоетапна верига на заразяване, като използва специално създадени модули през всеки етап“, казват изследователите на Zscaler Нирадж Шивтаркар и Преет Камал в доклад, публикуван миналата седмица.
„Тези модули са специално разработени за извършване на злонамерени дейности, като инжектиране на вреден код в отдалечени процеси, заобикаляне на контрола на потребителските акаунти чрез COM Elevation Moniker и избягване на откриването от Sandboxes чрез хитри техники като рестартиране на системата и проверки на родителските процеси.“
Начинанието, състоящо се от шест етапа, има всички белези на добре подготвена последователност на атака, като започва с фишинг имейл, съдържащ вградена връзка, която сочи към ZIP архив, хостван на инстанция на Amazon EC2, за да се избегне откриването на базата на домейни.
Имейл съобщенията използват примамка на тема фактура, за да подмамят неволните получатели да ги отворят и по този начин да активират инфекцията. В ZIP архива се намира изпълним файл за изтегляне, който е проектиран така, че да установи постоянство чрез LNK файл в стартовата папка на Windows и да комуникира с отдалечен сървър, за да изтегли шест полезни товара на следващ етап под формата на MP3 файлове.
Изтеглящото устройство отговаря и за генерирането на Batch скрипт, който рестартира системата след 10-секунден таймаут. Това се прави, за да се „избегне засичането в пясъчна кутия, тъй като злонамерените действия се извършват само след рестартирането“, казват изследователите.
Сред изтеглените полезни товари е „icepdfeditor.exe“, валидно подписан двоичен файл от ZOHO Corporation Private Limited, който при изпълнение зарежда настрани измамен DLL („ffmpeg.dll“) с кодово име Krita Loader.
Зареждащото устройство от своя страна е предназначено да декодира JPG файл, изтеглен заедно с другите полезни товари, и да стартира друг изпълним файл, известен като модул InjectorDLL, който обръща втори JPG файл, за да образува така наречения модул ElevateInjectorDLL.
Впоследствие компонентът InjectorDLL се придвижва, за да инжектира ElevateInjectorDLL в процеса „explorer.exe“, след което се извършва заобикаляне на контрола на потребителските акаунти (UAC), ако е необходимо, за да се повишат привилегиите на процеса и троянецът TOITOIN се декриптира и инжектира в процеса „svchost.exe“.
„Тази техника позволява на зловредния софтуер да манипулира системни файлове и да изпълнява команди с повишени привилегии, което улеснява по-нататъшните злонамерени дейности“, обясняват изследователите.
TOITOIN разполага с възможности за събиране на системна информация, както и за събиране на данни от инсталираните уеб браузъри, като Google Chrome, Microsoft Edge и Internet Explorer, Mozilla Firefox и Opera. Освен това той проверява за наличието на Topaz Online Fraud Detection (OFD) – модул за борба с измамите, интегриран в банковите платформи в региона на LATAM.
Естеството на отговорите от сървъра за управление и контрол (C2) понастоящем не е известно поради факта, че сървърът вече не е достъпен.
„Чрез измамни фишинг имейли, сложни механизми за пренасочване и диверсификация на домейните участниците в групата успешно доставят своя зловреден товар“, казват изследователите. „Многоетапната верига на заразяване, наблюдавана в тази кампания, включва използването на специално разработени модули, които използват различни техники за избягване на откриване и методи за криптиране.“
