Las empresas que operan en la región de América Latina (LATAM) son el objetivo de un nuevo troyano bancario basado en Windows llamado TOITOIN desde mayo de 2023.
«Esta campaña sofisticada emplea un troyano que sigue una cadena de infección de múltiples etapas, utilizando módulos especialmente diseñados en cada etapa», dijeron los investigadores de Zscaler Niraj Shivtarkar y Preet Kamal en un informe publicado la semana pasada.
«Estos módulos están diseñados a medida para llevar a cabo actividades maliciosas, como inyectar código dañino en procesos remotos, eludir el Control de cuentas de usuario a través de COM Elevation Moniker y evadir la detección de Sandboxes a través de técnicas inteligentes como reinicios del sistema y verificaciones de procesos principales».
El esfuerzo de seis etapas tiene todas las características de una secuencia de ataque bien diseñada, comenzando con un correo electrónico de phishing que contiene un enlace incrustado que apunta a un archivo ZIP alojado en una instancia de Amazon EC2 para evadir las detecciones basadas en el dominio.
Los mensajes de correo electrónico aprovechan un señuelo con el tema de la factura para engañar a los destinatarios involuntarios para que los abran, activando así la infección. Dentro del archivo ZIP hay un ejecutable de descarga que está diseñado para configurar la persistencia por medio de un archivo LNK en la carpeta de inicio de Windows y comunicarse con un servidor remoto para recuperar seis cargas útiles de la próxima etapa en forma de archivos MP3.
El descargador también es responsable de generar un script por lotes que reinicia el sistema después de un tiempo de espera de 10 segundos. Esto se hace para «evadir la detección de sandbox, ya que las acciones maliciosas ocurren solo después del reinicio», dijeron los investigadores.
Entre las cargas útiles obtenidas se incluye «icepdfeditor.exe», un binario válido firmado por ZOHO Corporation Private Limited, que, cuando se ejecuta, descarga una DLL no autorizada («ffmpeg.dll») con el nombre en código Krita Loader.
El cargador, por su parte, está diseñado para decodificar un archivo JPG descargado junto con las otras cargas útiles y lanzar otro ejecutable conocido como el módulo InjectorDLL que invierte un segundo archivo JPG para formar lo que se llama el módulo ElevateInjectorDLL.
Posteriormente, el componente InjectorDLL pasa a inyectar ElevateInjectorDLL en el proceso «explorer.exe», luego de lo cual se realiza una omisión del Control de cuentas de usuario ( UAC ), si es necesario, para elevar los privilegios del proceso y el troyano TOITOIN se descifra e inyecta en el » proceso svchost.exe».
«Esta técnica permite que el malware manipule los archivos del sistema y ejecute comandos con privilegios elevados, lo que facilita más actividades maliciosas», explicaron los investigadores.
TOITOIN viene con capacidades para recopilar información del sistema, así como datos de recolección de navegadores web instalados como Google Chrome, Microsoft Edge e Internet Explorer, Mozilla Firefox y Opera. Además, verifica la presencia de Topaz Online Fraud Detection (OFD), un módulo antifraude integrado en las plataformas bancarias en la región LATAM.
Actualmente se desconoce la naturaleza de las respuestas del servidor de comando y control (C2) debido a que el servidor ya no está disponible.
«A través de correos electrónicos de phishing engañosos, mecanismos de redireccionamiento intrincados y diversificación de dominios, los actores de amenazas entregan con éxito su carga maliciosa», dijeron los investigadores. «La cadena de infección de múltiples etapas observada en esta campaña implica el uso de módulos desarrollados a medida que emplean varias técnicas de evasión y métodos de encriptación».
Fuente y redacción: thehackernews.com