Latin Amerika (LATAM) bölgesinde faaliyet gösteren işletmeler, Windows tabanlı yeni bir bankacılık truva atının hedefidir. TOİTOİN Mayıs 2023’ten beri.
Zscaler araştırmacıları Niraj Shivtarkar ve Preet Kamal geçen hafta yayınlanan bir raporda, “Bu sofistike kampanya, her aşamada özel olarak hazırlanmış modüller kullanan çok aşamalı bir enfeksiyon zincirini takip eden bir truva atı kullanıyor” dedi.
“Bu modüller, uzak işlemlere zararlı kod enjekte etmek, COM Yükseltme Takma Adı aracılığıyla Kullanıcı Hesabı Denetimini atlatmak ve sistem yeniden başlatmaları ve ana işlem kontrolleri gibi akıllı tekniklerle Korumalı Alanlar tarafından tespit edilmekten kaçınmak gibi kötü amaçlı etkinlikleri gerçekleştirmek için özel olarak tasarlanmıştır.”
Altı aşamalı çaba, etki alanı tabanlı algılamalardan kaçınmak için bir Amazon EC2 eşgörünümünde barındırılan bir ZIP arşivine işaret eden katıştırılmış bir bağlantı içeren bir kimlik avı e-postasıyla başlayarak, iyi hazırlanmış bir saldırı dizisinin tüm ayırt edici özelliklerine sahiptir.
E-posta iletileri, farkında olmayan alıcıları onları açmaları için kandırmak ve böylece bulaşmayı etkinleştirmek için fatura temalı bir cazibeden yararlanır. ZIP arşivi içinde, Windows Başlangıç klasöründeki bir LNK dosyası aracılığıyla kalıcılığı ayarlamak ve MP3 dosyaları biçiminde altı sonraki aşama yükünü almak için bir uzak sunucuyla iletişim kurmak üzere tasarlanmış yürütülebilir bir indirici dosyası bulunur.
İndirici, 10 saniyelik bir zaman aşımından sonra sistemi yeniden başlatan bir Batch komut dosyası oluşturmaktan da sorumludur. Araştırmacılar, “kötü niyetli eylemler yalnızca yeniden başlatmanın ardından gerçekleştiğinden, sanal alan tespitinden kaçınmak” için bu işlemin yapıldığını söyledi.
Getirilen yükler arasında, ZOHO Corporation Private Limited tarafından imzalanmış geçerli bir ikili dosya olan “icepdfeditor.exe” bulunur ve çalıştırıldığında kod adı Krita Loader olan hileli bir DLL (“ffmpeg.dll”) yükler.
Yükleyici, kendi adına, diğer yüklerle birlikte indirilen bir JPG dosyasının kodunu çözmek ve ElevateInjectorDLL modülünü oluşturmak için ikinci bir JPG dosyasını tersine çeviren InjectorDLL modülü olarak bilinen başka bir yürütülebilir dosyayı başlatmak için tasarlanmıştır.
InjectorDLL bileşeni daha sonra ElevateInjectorDLL’yi “explorer.exe” işlemine enjekte etmek için hareket eder, ardından gerekirse işlem ayrıcalıklarını yükseltmek için bir Kullanıcı Hesabı Denetimi (UAC) atlaması gerçekleştirilir ve TOITOIN Trojan’ın şifresi çözülür ve ” svchost.exe” işlemi.
🔐 Ayrıcalıklı Erişim Yönetimi: Önemli Zorlukların Üstesinden Gelmeyi Öğrenin
Ayrıcalıklı Hesap Yönetimi (PAM) zorluklarını aşmak ve ayrıcalıklı erişim güvenliği stratejinizi yükseltmek için farklı yaklaşımları keşfedin.
Yerinizi Ayırın
Araştırmacılar, “Bu teknik, kötü amaçlı yazılımın sistem dosyalarını manipüle etmesine ve yükseltilmiş ayrıcalıklarla komutları yürütmesine izin vererek daha fazla kötü niyetli etkinliği kolaylaştırıyor” dedi.
TOITOIN, sistem bilgilerini toplamanın yanı sıra Google Chrome, Microsoft Edge ve Internet Explorer, Mozilla Firefox ve Opera gibi yüklü web tarayıcılarından veri toplama yetenekleriyle birlikte gelir. Ayrıca, LATAM bölgesindeki bankacılık platformlarına entegre bir dolandırıcılıkla mücadele modülü olan Topaz Online Fraud Detection’ın (OFD) varlığını kontrol eder.
Komuta ve kontrol (C2) sunucusundan gelen yanıtların niteliği, sunucu artık kullanılamadığı için şu anda bilinmemektedir.
Araştırmacılar, “Aldatıcı kimlik avı e-postaları, karmaşık yeniden yönlendirme mekanizmaları ve etki alanı çeşitlendirmesi yoluyla, tehdit aktörleri kötü amaçlı yüklerini başarıyla teslim ediyor” dedi. “Bu kampanyada gözlemlenen çok aşamalı enfeksiyon zinciri, çeşitli kaçırma teknikleri ve şifreleme yöntemleri kullanan özel olarak geliştirilmiş modüllerin kullanımını içeriyor.”