Observatorio de Amenazas

Nuevo troyano dirigido a la banca de LATAM

Escrito por Marcelo Carvajal | 18-07-23

Desde mayo de 2023 se ha identificado la presencia de un troyano bancario basado en Windows llamado TOITOIN, el que tiene como objetivo a empresas que operan en la región de LATAM.

Este es un malware sofisticado que se propaga a través de correos electrónicos de phishing  y archivos ZIP maliciosos. Utiliza técnicas evasivas, como reinicios del sistema y nombres de archivo aleatorios, y se comunica con un servidor de comando y control para recopilar información del sistema. También aprovecha la infraestructura en la nube para ocultarse. 

 

Modalidad de ataque

Las técnicas de ataque utilizadas por este nuevo malware son variadas, y se destacan: phishing, infección de múltiples etapas, evasión de control de cuentas de usuario, robo de datos de navegadores web, evasión de detección de Sandboxes, descarga de carga útil, entre otros.

La campaña, que involucra seis etapas, muestra todas las características de una secuencia de ataques meticulosamente planificados. Comienza con un correo electrónico de phishing que incluye un enlace incrustado que dirige a un archivo ZIP alojado en una instancia de Amazon EC2, lo que le permite evadir bloqueos por dominios maliciosos.

Los correos electrónicos poseen un adjunto que activa la infección. El archivo ZIP contiene un ejecutable de descarga diseñado para establecer la persistencia mediante un archivo LNK en la carpeta de inicio de Windows y conectarse a un servidor remoto para recuperar seis cargas útiles de la siguiente etapa en forma de archivos MP3. Este proceso es silencioso y transparente para el usuario, quien no se percata de que están siendo descargados.
 
Además, el descargador genera un script por lotes que reinicia el sistema después de un tiempo de espera de 10 segundos. Esta táctica tiene como objetivo evadir la detección de la sandbox, ya que las acciones maliciosas solo se activan después del reinicio del sistema, según lo señalado por los investigadores.

TOITOIN está equipado con la capacidad de recopilar información del sistema y extraer datos de navegadores web instalados, como Google Chrome, Microsoft Edge, Internet Explorer, Mozilla Firefox y Opera. Además, verifica si se encuentra presente el módulo antifraude Topaz Online Fraud Detection (OFD), utilizado en las plataformas bancarias de la región de LATAM.

IoCs de troyano TOITOIN

Etapas IoCs asociados
Módulo de descarga
  • 8fc3c83b88a3c65a749b27f8439a8416
  • 2fa7c647c626901321f5decde4273633
  • ec2-3-89-143-150[.]compute-1[.]amazonaws[.]com/storage[.]php? e=Desktop-PC
  • ec2-3-82-104-156[.]compute-1[.]amazonaws[.]com/storage.php? e=Desktop-PC
  • http[:]//alemaoautopecas[.]com
  • http[:]//contatosclientes[.]servicios
  • atendimento-arquivos[.]com
  • arquivosclientes[.]en línea
  • fantasiacinematica[.]en línea
  • http[:]//cartolabrasil[.]com
DLL del cargador Krita
  • b7bc67f2ef833212f25ef58887d5035a
Módulo InjectorDLL
  • 690bfd65c2738e7c1c42ca8050634166
Módulo ElevsteInjectorDLL
  • e6c7d8d5683f338ca5c40aad462263a6
  • 191[.] 252[.] 203[.] 222/Up/indexW.php
Módulo BypassUAC
  • c35d55b8b0ddd01aa4796d1616c09a46
Troyano de TOITOIN
  • 7871f9a0b4b9c413a8c7085983ec9a72
  • http[:]//bragancasbrasil[.]com
  • http[:]//179[.] 188[.] 38[.] 7
  • http[:]//afroblack[.]shop/CasaMoveis\ClienteD.php
 

Prevención y mitigación

Es fundamental encontrar un equilibrio adecuado para prever ataques cibernéticos. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. Estrategias como ZeroTrust deben ser abordadas desde este enfoque para permitir que la continuidad operacional de la empresa no se vea deteriorada por una gestión de ciberseguridad altamente restrictiva.

Considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y posean conciencia de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.

Por otra parte, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.

Fuentes

https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region

https://csirtasobancaria.com/el-auge-del-troyano-toitoin-y-su-cadena-de-infeccion-sofisticada-que-afecta-a-entidades-en-america-latina 

https://thehackernews.com/2023/07/new-toitoin-banking-trojan-targeting.html

https://ciberprisma.org/2023/07/13/toitoin-el-nuevo-troyano-utilizado-para-atacar-entidades-bancarias-latinoamericanas/