{"id":824029,"date":"2023-07-10T15:36:37","date_gmt":"2023-07-10T17:36:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouveau-cheval-de-troie-bancaire-toitoin-ciblant-les-entreprises-latino-americaines\/"},"modified":"2023-07-10T15:36:40","modified_gmt":"2023-07-10T17:36:40","slug":"nouveau-cheval-de-troie-bancaire-toitoin-ciblant-les-entreprises-latino-americaines","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouveau-cheval-de-troie-bancaire-toitoin-ciblant-les-entreprises-latino-americaines\/","title":{"rendered":"Nouveau cheval de Troie bancaire TOITOIN ciblant les entreprises latino-am\u00e9ricaines"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 d&#8217;entreprise \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les entreprises op\u00e9rant en Am\u00e9rique latine (LATAM) sont la cible d&#8217;un nouveau cheval de Troie bancaire bas\u00e9 sur Windows appel\u00e9 <strong>TOITOIN<\/strong> depuis mai 2023.<\/p>\n<p>&#8220;Cette campagne sophistiqu\u00e9e utilise un cheval de Troie qui suit une cha\u00eene d&#8217;infection en plusieurs \u00e9tapes, utilisant des modules sp\u00e9cialement con\u00e7us \u00e0 chaque \u00e9tape&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Zscaler Niraj Shivtarkar et Preet Kamal. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>&#8220;Ces modules sont con\u00e7us sur mesure pour mener des activit\u00e9s malveillantes, telles que l&#8217;injection de code nuisible dans des processus distants, le contournement du contr\u00f4le de compte d&#8217;utilisateur via COM Elevation Moniker et l&#8217;\u00e9vitement de la d\u00e9tection par les Sandbox gr\u00e2ce \u00e0 des techniques intelligentes telles que les red\u00e9marrages du syst\u00e8me et les v\u00e9rifications des processus parents.&#8221;<\/p>\n<p>L&#8217;effort en six \u00e9tapes pr\u00e9sente toutes les caract\u00e9ristiques d&#8217;une s\u00e9quence d&#8217;attaque bien con\u00e7ue, en commen\u00e7ant par un e-mail de phishing contenant un lien int\u00e9gr\u00e9 qui pointe vers une archive ZIP h\u00e9berg\u00e9e sur une instance Amazon EC2 pour \u00e9chapper aux d\u00e9tections bas\u00e9es sur le domaine.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Les e-mails exploitent un leurre sur le th\u00e8me de la facture pour inciter les destinataires involontaires \u00e0 les ouvrir, activant ainsi l&#8217;infection.  Dans l&#8217;archive ZIP se trouve un ex\u00e9cutable de t\u00e9l\u00e9chargement con\u00e7u pour configurer la persistance au moyen d&#8217;un fichier LNK dans le dossier de d\u00e9marrage de Windows et communiquer avec un serveur distant pour r\u00e9cup\u00e9rer six charges utiles de l&#8217;\u00e9tape suivante sous la forme de fichiers MP3.<\/p>\n<p>Le t\u00e9l\u00e9chargeur est \u00e9galement charg\u00e9 de g\u00e9n\u00e9rer un script batch qui red\u00e9marre le syst\u00e8me apr\u00e8s un d\u00e9lai de 10 secondes.  Ceci est fait de mani\u00e8re \u00e0 &#8220;\u00e9chapper \u00e0 la d\u00e9tection du bac \u00e0 sable puisque les actions malveillantes ne se produisent qu&#8217;apr\u00e8s le red\u00e9marrage&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Parmi les charges utiles r\u00e9cup\u00e9r\u00e9es se trouve &#8220;icepdfeditor.exe&#8221;, un binaire sign\u00e9 valide par ZOHO Corporation Private Limited, qui, lorsqu&#8217;il est ex\u00e9cut\u00e9, charge une DLL escroc (&#8220;ffmpeg.dll&#8221;) dont le nom de code est Krita Loader.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689010596_727_Nouveau-cheval-de-Troie-bancaire-TOITOIN-ciblant-les-entreprises-latino-americaines.jpg\" alt=\"\" border=\"0\" data-original-height=\"428\" data-original-width=\"728\"\/><\/div>\n<p>Le chargeur, pour sa part, est con\u00e7u pour d\u00e9coder un fichier JPG t\u00e9l\u00e9charg\u00e9 avec les autres charges utiles et lancer un autre ex\u00e9cutable appel\u00e9 module InjectorDLL qui inverse un deuxi\u00e8me fichier JPG pour former ce qu&#8217;on appelle le module ElevateInjectorDLL.<\/p>\n<p>Le composant InjectorDLL se d\u00e9place ensuite pour injecter ElevateInjectorDLL dans le processus &#8220;explorer.exe&#8221;, apr\u00e8s quoi un contr\u00f4le de compte d&#8217;utilisateur (<a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/exploring-windows-uac-bypasses-techniques-and-detection-strategies\" target=\"_blank\">UAC<\/a>) un contournement est effectu\u00e9, si n\u00e9cessaire, pour \u00e9lever les privil\u00e8ges du processus et le cheval de Troie TOITOIN est d\u00e9chiffr\u00e9 et inject\u00e9 dans le processus &#8220;svchost.exe&#8221;.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 PAM Security \u2013 Des solutions expertes pour s\u00e9curiser vos comptes sensibles<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Ce webinaire dirig\u00e9 par des experts vous fournira les connaissances et les strat\u00e9gies dont vous avez besoin pour transformer votre strat\u00e9gie de s\u00e9curit\u00e9 des acc\u00e8s privil\u00e9gi\u00e9s.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">R\u00e9servez votre place<\/a><\/section>\n<p>&#8220;Cette technique permet au logiciel malveillant de manipuler les fichiers syst\u00e8me et d&#8217;ex\u00e9cuter des commandes avec des privil\u00e8ges \u00e9lev\u00e9s, facilitant ainsi d&#8217;autres activit\u00e9s malveillantes&#8221;, ont expliqu\u00e9 les chercheurs.<\/p>\n<p>TOITOIN est livr\u00e9 avec des capacit\u00e9s pour collecter des informations syst\u00e8me ainsi que des donn\u00e9es \u00e0 partir de navigateurs Web install\u00e9s tels que Google Chrome, Microsoft Edge et Internet Explorer, Mozilla Firefox et Opera.  De plus, il v\u00e9rifie la pr\u00e9sence de Topaz Online Fraud Detection (OFD), un <a rel=\"nofollow noopener\" href=\"https:\/\/www.topazevolution.com\/es\/topaz\/clientes\/\" target=\"_blank\">module anti-fraude<\/a> int\u00e9gr\u00e9s aux plateformes bancaires de la r\u00e9gion LATAM.<\/p>\n<p>La nature des r\u00e9ponses du serveur de commande et de contr\u00f4le (C2) n&#8217;est actuellement pas connue du fait que le serveur n&#8217;est plus disponible.<\/p>\n<p>&#8220;Gr\u00e2ce \u00e0 des e-mails de phishing trompeurs, \u00e0 des m\u00e9canismes de redirection complexes et \u00e0 la diversification des domaines, les acteurs de la menace livrent avec succ\u00e8s leur charge utile malveillante&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;La cha\u00eene d&#8217;infection \u00e0 plusieurs \u00e9tapes observ\u00e9e dans cette campagne implique l&#8217;utilisation de modules d\u00e9velopp\u00e9s sur mesure qui emploient diverses techniques d&#8217;\u00e9vasion et m\u00e9thodes de cryptage.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/new-toitoin-banking-trojan-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 juil. 2023\ue804THNS\u00e9curit\u00e9 d&#8217;entreprise \/ Logiciels malveillants Les entreprises op\u00e9rant en Am\u00e9rique latine (LATAM) sont la cible d&#8217;un nouveau cheval de Troie bancaire bas\u00e9 sur Windows appel\u00e9 TOITOIN depuis mai 2023. &#8220;Cette campagne sophistiqu\u00e9e utilise un cheval de Troie qui suit une cha\u00eene d&#8217;infection en plusieurs \u00e9tapes, utilisant des modules sp\u00e9cialement con\u00e7us \u00e0 chaque \u00e9tape&#8221;, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":824030,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[173,7968,4175,4168,4158,4165,4161,3244,4157,4159,4171,4170,165190,65,4167,4160,680,4163,4162,4172,4169,173219,8915,4166,4164],"class_list":["post-824029","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bancaire","tag-cheval","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-entreprises","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-latinoamericaines","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-toitoin","tag-troie","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/824029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=824029"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/824029\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/824030"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=824029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=824029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=824029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}