Les entreprises opérant en Amérique latine (LATAM) sont la cible d’un nouveau cheval de Troie bancaire basé sur Windows appelé TOITOIN depuis mai 2023.
« Cette campagne sophistiquée utilise un cheval de Troie qui suit une chaîne d’infection en plusieurs étapes, utilisant des modules spécialement conçus à chaque étape », ont déclaré les chercheurs de Zscaler Niraj Shivtarkar et Preet Kamal. a dit dans un rapport publié la semaine dernière.
« Ces modules sont conçus sur mesure pour mener des activités malveillantes, telles que l’injection de code nuisible dans des processus distants, le contournement du contrôle de compte d’utilisateur via COM Elevation Moniker et l’évitement de la détection par les Sandbox grâce à des techniques intelligentes telles que les redémarrages du système et les vérifications des processus parents. »
L’effort en six étapes présente toutes les caractéristiques d’une séquence d’attaque bien conçue, en commençant par un e-mail de phishing contenant un lien intégré qui pointe vers une archive ZIP hébergée sur une instance Amazon EC2 pour échapper aux détections basées sur le domaine.
Les e-mails exploitent un leurre sur le thème de la facture pour inciter les destinataires involontaires à les ouvrir, activant ainsi l’infection. Dans l’archive ZIP se trouve un exécutable de téléchargement conçu pour configurer la persistance au moyen d’un fichier LNK dans le dossier de démarrage de Windows et communiquer avec un serveur distant pour récupérer six charges utiles de l’étape suivante sous la forme de fichiers MP3.
Le téléchargeur est également chargé de générer un script batch qui redémarre le système après un délai de 10 secondes. Ceci est fait de manière à « échapper à la détection du bac à sable puisque les actions malveillantes ne se produisent qu’après le redémarrage », ont déclaré les chercheurs.
Parmi les charges utiles récupérées se trouve « icepdfeditor.exe », un binaire signé valide par ZOHO Corporation Private Limited, qui, lorsqu’il est exécuté, charge une DLL escroc (« ffmpeg.dll ») dont le nom de code est Krita Loader.
Le chargeur, pour sa part, est conçu pour décoder un fichier JPG téléchargé avec les autres charges utiles et lancer un autre exécutable appelé module InjectorDLL qui inverse un deuxième fichier JPG pour former ce qu’on appelle le module ElevateInjectorDLL.
Le composant InjectorDLL se déplace ensuite pour injecter ElevateInjectorDLL dans le processus « explorer.exe », après quoi un contrôle de compte d’utilisateur (UAC) un contournement est effectué, si nécessaire, pour élever les privilèges du processus et le cheval de Troie TOITOIN est déchiffré et injecté dans le processus « svchost.exe ».
🔐 PAM Security – Des solutions expertes pour sécuriser vos comptes sensibles
Ce webinaire dirigé par des experts vous fournira les connaissances et les stratégies dont vous avez besoin pour transformer votre stratégie de sécurité des accès privilégiés.
« Cette technique permet au logiciel malveillant de manipuler les fichiers système et d’exécuter des commandes avec des privilèges élevés, facilitant ainsi d’autres activités malveillantes », ont expliqué les chercheurs.
TOITOIN est livré avec des capacités pour collecter des informations système ainsi que des données à partir de navigateurs Web installés tels que Google Chrome, Microsoft Edge et Internet Explorer, Mozilla Firefox et Opera. De plus, il vérifie la présence de Topaz Online Fraud Detection (OFD), un module anti-fraude intégrés aux plateformes bancaires de la région LATAM.
La nature des réponses du serveur de commande et de contrôle (C2) n’est actuellement pas connue du fait que le serveur n’est plus disponible.
« Grâce à des e-mails de phishing trompeurs, à des mécanismes de redirection complexes et à la diversification des domaines, les acteurs de la menace livrent avec succès leur charge utile malveillante », ont déclaré les chercheurs. « La chaîne d’infection à plusieurs étapes observée dans cette campagne implique l’utilisation de modules développés sur mesure qui emploient diverses techniques d’évasion et méthodes de cryptage. »