Le aziende che operano nella regione dell’America Latina sono il bersaglio di un nuovo trojan bancario basato su Windows chiamato TOITOIN dal maggio 2023. “Questa sofisticata campagna impiega un trojan che segue una catena di infezione multistadio, utilizzando moduli appositamente creati in ogni fase”, hanno affermato i ricercatori di Zscaler Niraj Shivtarkar e Preet Kamal in un rapporto pubblicato la scorsa settimana.
Le fasi dell’attacco di TOITOIN
L’impresa in sei fasi ha tutti i segni distintivi di una sequenza di attacco ben congegnata, che inizia con un’email di phishing contenente un link incorporato che punta a un archivio ZIP ospitato su un’istanza Amazon EC2 per evitare rilevamenti basati sul dominio. I messaggi email sfruttano un’esca a tema fattura per ingannare i destinatari ignari a aprirli, attivando così l’infezione. All’interno dell’archivio ZIP si trova un eseguibile downloader progettato per impostare la persistenza tramite un file LNK nella cartella di avvio di Windows e comunicare con un server remoto per recuperare sei payload di prossima fase sotto forma di file MP3.
Le capacità di TOITOIN
TOITOIN ha la capacità di raccogliere informazioni di sistema e raccogliere dati dai browser web installati come Google Chrome, Microsoft Edge e Internet Explorer, Mozilla Firefox e Opera. Inoltre, controlla la presenza di Topaz Online Fraud Detection (OFD), un modulo antifrode integrato nelle piattaforme bancarie nella regione LATAM.
