Latin Amerika (LATAM) bölgesinde faaliyet gösteren işletmeler, Windows tabanlı yeni bir bankacılık truva atının hedefidir. TOİTOİN Mayıs 2023’ten beri.
Zscaler araştırmacıları Niraj Shivtarkar ve Preet Kamal, “Bu sofistike kampanya, her aşamada özel olarak hazırlanmış modüller kullanan çok aşamalı bir enfeksiyon zincirini takip eden bir truva atı kullanıyor.” söz konusu geçen hafta yayınlanan bir raporda.
“Bu modüller, uzak işlemlere zararlı kod enjekte etmek, COM Yükseltme Takma Adı aracılığıyla Kullanıcı Hesabı Denetimini atlatmak ve sistem yeniden başlatmaları ve ana işlem kontrolleri gibi akıllı tekniklerle Korumalı Alanlar tarafından tespit edilmekten kaçınmak gibi kötü amaçlı etkinlikleri gerçekleştirmek için özel olarak tasarlanmıştır.”
Altı aşamalı çaba, etki alanı tabanlı algılamalardan kaçınmak için bir Amazon EC2 eşgörünümünde barındırılan bir ZIP arşivine işaret eden katıştırılmış bir bağlantı içeren bir kimlik avı e-postasıyla başlayarak, iyi hazırlanmış bir saldırı dizisinin tüm ayırt edici özelliklerine sahiptir.
E-posta mesajları, farkında olmayan alıcıları onları açmaları için kandırmak ve böylece bulaşmayı etkinleştirmek için fatura temalı bir cazibeden yararlanır. ZIP arşivi içinde, Windows Başlangıç klasöründeki bir LNK dosyası aracılığıyla kalıcılığı ayarlamak ve MP3 dosyaları biçiminde altı sonraki aşama yükünü almak için bir uzak sunucuyla iletişim kurmak üzere tasarlanmış yürütülebilir bir indirici dosyası bulunur.
İndirici, 10 saniyelik bir zaman aşımından sonra sistemi yeniden başlatan bir Batch komut dosyası oluşturmaktan da sorumludur. Araştırmacılar, bunun, “kötü niyetli eylemler yalnızca yeniden başlatmanın ardından gerçekleştiği için korumalı alan tespitinden kaçınmak” için yapıldığını söyledi.
Getirilen yükler arasında, ZOHO Corporation Private Limited tarafından imzalanmış geçerli bir ikili dosya olan “icepdfeditor.exe” bulunur ve çalıştırıldığında kod adı Krita Loader olan hileli bir DLL (“ffmpeg.dll”) yükler.
Yükleyici, kendi adına, diğer yüklerle birlikte indirilen bir JPG dosyasının kodunu çözmek ve ElevateInjectorDLL modülünü oluşturmak için ikinci bir JPG dosyasını tersine çeviren InjectorDLL modülü olarak bilinen başka bir yürütülebilir dosyayı başlatmak için tasarlanmıştır.
InjectorDLL bileşeni daha sonra ElevateInjectorDLL’yi “explorer.exe” işlemine enjekte etmek için hareket eder ve ardından bir Kullanıcı Hesabı Denetimi (UAC) gerekirse işlem ayrıcalıklarını yükseltmek için baypas gerçekleştirilir ve TOITOIN Trojan’ın şifresi çözülür ve “svchost.exe” işlemine enjekte edilir.
🔐 PAM Güvenliği – Hassas Hesaplarınızı Güvenceye Almak İçin Uzman Çözümler
Uzmanlar tarafından yönetilen bu web semineri, sizi ayrıcalıklı erişim güvenliği stratejinizi dönüştürmek için ihtiyaç duyduğunuz bilgi ve stratejilerle donatacak.
Araştırmacılar, “Bu teknik, kötü amaçlı yazılımın sistem dosyalarını manipüle etmesine ve yükseltilmiş ayrıcalıklarla komutları yürütmesine izin vererek daha fazla kötü niyetli etkinliği kolaylaştırıyor” dedi.
TOITOIN, sistem bilgilerini toplamanın yanı sıra Google Chrome, Microsoft Edge ve Internet Explorer, Mozilla Firefox ve Opera gibi yüklü web tarayıcılarından veri toplama yetenekleriyle birlikte gelir. Ayrıca, Topaz Çevrimiçi Dolandırıcılık Tespitinin (OFD) varlığını kontrol eder. dolandırıcılıkla mücadele modülü LATAM bölgesindeki bankacılık platformlarına entegre edilmiştir.
Komuta ve kontrol (C2) sunucusundan gelen yanıtların niteliği, sunucu artık kullanılamadığı için şu anda bilinmemektedir.
Araştırmacılar, “Aldatıcı kimlik avı e-postaları, karmaşık yeniden yönlendirme mekanizmaları ve etki alanı çeşitlendirmesi yoluyla, tehdit aktörleri kötü amaçlı yüklerini başarıyla teslim ediyor” dedi. “Bu kampanyada gözlemlenen çok aşamalı enfeksiyon zinciri, çeşitli kaçırma teknikleri ve şifreleme yöntemleri kullanan özel olarak geliştirilmiş modüllerin kullanımını içeriyor.”