Yeni gelişmiş kötü amaçlı yazılım, TOITOIN Truva Atı ile LATAM işletmelerini hedef alarak karmaşık katmanları ortaya çıkarır. Tam saldırı, ciddi etkisini vurgulayan aşağıdaki temel şeyleri içeren çok aşamalı bir sürece dayanmaktadır:-
- Kimlik avı e-postaları
- Özel yapım modüller
- Gelişmiş TTP’ler
Zscaler ThreatLabz’daki siber güvenlik araştırmacıları, gelişen siber tehdit ortamının mevcut çağında LATAM (Latin Amerika) işletmelerine yönelik yeni bir hedefli saldırı ortaya çıkardı.
.png
)
Her aşamada, bu kampanyada dağıtılan trojan tarafından özel modüller kullanılarak çok aşamalı bir bulaşma zinciri izlenir.
Yeniden başlatmalar ve işlem kontrolleri aracılığıyla, özel modüller aşağıdakiler gibi kötü niyetli etkinlikleri yürütür: –
- Kod enjeksiyonu
- UAC atlatma
- Sandbox kaçırma
Kampanya, yapılandırma dosyası kodunun çözülmesi için XOR şifre çözme ile nihai yük olan TOITOIN Trojan’ı dağıtır. Şifresi çözülmüş truva atı aşağıdaki verileri toplar ve bunları saldırganların sunucusuna kodlanmış biçimde gönderir:-
- Sistem bilgisi
- tarayıcı verileri
- Topaz OFD bilgisi
BENİM Truva Atım Var Enfeksiyon Zinciri
Tehdit avcıları Mayıs 2023’te Zscaler bulutunda büyük bir atılım gerçekleştirdi. Hepsi Amazon EC2 tarafından barındırılan birkaç gizli kötü amaçlı yazılım örneğini içeren sıkıştırılmış ZIP arşivleri buldular.
Hedeflenen kampanya, iyi hazırlanmış bir kimlik avı e-posta uzlaşmasıyla başlayan TOITOIN kötü amaçlı yazılım bulaşma zincirini kullanır. Aldatıcı e-posta, bu kampanyada stratejik olarak bir Latin Amerika Yatırım Bankacılığı şirketini hedef alırken.
E-posta, alıcıyı ‘Visualizar Boleto’yu (Faturayı Görüntüle) tıklamaya teşvik eden bir Ödeme Bildirimi Cazibesi ile dikkatlice hazırlanmıştır. Bu ise kullanıcılar arasında aciliyet yaratıp onları e-postanın içeriğini açmaya teşvik ederek tehdit aktörlerinin tuzağına düşmelerine neden oluyor.
Kimlik avı e-posta düğmesine tıkladığında kullanıcı tarafından bilmeden bir olaylar zinciri başlatıldı.
Ardından, aracı yönlendirme işlevi gören aşağıdaki URL açılır: –
- http[:]//alemautoparts[.]com/1742241b/40c0/df052b5e975c.php?hash=aHR0cHM6Ly9teS5ub2lwLmNvbS9keW5hbWljLWRucw
Bundan sonra, kurbanın tarayıcısı bir kez daha aşağıdaki adrese yönlendirilir: –
- http[:]//iletişim istemcileri[.]hizmetler/upthon
Şimdi burada, kurbanın savunma mekanizmasını tehlikeye atmak için, kötü amaçlı ZIP arşivi kurbanın sistemine gizlice indiriliyor.
Aşağıda, kötü amaçlı ZIP arşivlerini teslim etmek için kullanılan tüm alanlardan bahsetmiştik: –
- bakım dosyaları[.]iletişim
- müşteri dosyaları[.]çevrimiçi
- sinematik fantezi[.]çevrimiçi
Tehdit aktörleri dinamik ZIP arşiv adları kullanır ve bu da niyetlerini tespit etmeyi ve hafifletmeyi zorlaştırır.
Çok Aşamalı TOITOIN Enfeksiyon Zinciri
Çok aşamalı TOITOIN enfeksiyon zinciri altı aşamadan oluşur ve aşağıda bunlardan bahsetmiştik:-
- Aşama-1: İndirici modülü
- Aşama-2: Krita Yükleyici DLL (ffmpeg.dll)
- Aşama-3: InjectorDLL Modülü
- Aşama-4: ElevateInjectorDLL Modülü
- Aşama-5: BypassUAC Modülü
- 6. Aşama: TOITOIN Truva Atı
TOITOIN Truva Atı, iletişim için şu adreste bulunan C&C (Komuta ve Kontrol) sunucusuyla iletişim kurar:-
- http[:]//afrosiyah[.]mağaza/CasaMoveis\ClienteD.php
Ardından aşağıdaki bilgileri iletir: –
- Kodlanmış sistem bilgisi
- tarayıcı ayrıntıları
- Topaz OFD Koruma Modülü bilgileri
TOITOIN kötü amaçlı yazılım kampanyası, Latin Amerika’daki işletmeleri hedef alan tehdit aktörlerinin gelişen taktiklerini açığa çıkarıyor. Başarılı kötü niyetli yük teslimatı için şunları kullanırlar: –
- Aldatıcı kimlik avı e-postaları
- Karmaşık yönlendirme mekanizmaları
- Alan çeşitlendirmesi
Ayrıca, Amazon EC2 ve dinamik dosya adlarının kullanılması, sistemlerden ödün verme konusundaki ısrarlarını ve uyum sağlama yeteneklerini gösterir.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.