11/07/23
С мая 2023 года в Латинской Америке распространяется новая троянская программа для Windows под названием «TOITOIN», нацеленная на кражу банковских данных. Об этом сообщили исследователи компании Zscaler в своем недавнем отчёте, опубликованном на прошлой неделе.
«Эта сложная кампания использует троян, который следует многоступенчатой цепочке заражения, применяя специально разработанные модули на каждом этапе», — заявили исследователи Zscaler.
«Эти модули предназначены для выполнения вредоносных действий, таких как внедрение зловредного кода в удалённые процессы, обход контроля учётных записей пользователей и уклонение от обнаружения песочницами с помощью хитрых техник, таких как перезагрузка системы и проверка родительского процесса», — добавили специалисты.
Шестиступенчатый процесс заражения имеет все признаки хорошо продуманной кампании, которая начинается с фишингового письма, содержащего ссылку, которая ведёт на ZIP-архив, размещённый на экземпляре злоумышленников Amazon EC2. Эта техника используется для уклонения от обнаружения по домену, поясняет Securitylab.
В качестве приманки мошенники используют финансовые темы, такие как счета-фактуры и т.п., чтобы обмануть ничего не подозревающих получателей. Внутри вышеупомянутого ZIP-архива находится исполняемый файл загрузчика, который создает постоянство в системе с помощью простого ярлыка в папке автозагрузки Windows, а затем связывается с удалённым сервером для получения шести следующих полезных нагрузок, замаскированных под MP3-файлы для избежания обнаружения.
Загрузчик также генерирует скрипт Batch, который перезапускает систему после 10-секундной задержки. Это делается для того, чтобы «уклониться от обнаружения песочницей, поскольку все вредоносные действия происходят только после перезагрузки», — объяснили исследователи.
Среди полученных полезных нагрузок есть «icepdfeditor.exe», подписанный действительным бинарным файлом ZOHO Corporation Private Limited, который при выполнении загружает поддельную DLL («ffmpeg.dll»), получившую кодовое имя Krita Loader.
Krita Loader, в свою очередь, предназначен для декодирования JPG-файла, загруженного вместе с другими полезными нагрузками, и запуска ещё одного исполняемого файла, известного как модуль InjectorDLL. Он конвертирует второй загруженный JPG-файл для формирования так называемого модуля ElevateInjectorDLL.
Компонент InjectorDLL затем переходит к внедрению ElevateInjectorDLL в системный процесс «explorer.exe», после чего выполняется обход контроля учётных записей пользователей (UAC), если это необходимо, для повышения привилегий процесса и расшифровки и внедрения трояна TOITOIN в процесс «svchost.exe».
«Эта техника позволяет вредоносной программе манипулировать системными файлами и процессами, выполняя команды с повышенными привилегиями и облегчая дальнейшие вредоносные действия», — объяснили исследователи.
TOITOIN обладает возможностями сбора системной информации, а также извлечения данных из установленных веб-браузеров, таких как Google Chrome, Microsoft Edge, Internet Explorer, Mozilla Firefox и Opera. Кроме того, он проверяет наличие «Topaz Online Fraud Detection», антифродового модуля, интегрированного в банковские платформы в регионе Латинской Америки.
