Desde mayo de 2023 se ha identificado la presencia de un troyano bancario basado en Windows llamado TOITOIN, el que tiene como objetivo a empresas que operan en la región de LATAM.
Este es un malware sofisticado que se propaga a través de correos electrónicos de phishing y archivos ZIP maliciosos. Utiliza técnicas evasivas, como reinicios del sistema y nombres de archivo aleatorios, y se comunica con un servidor de comando y control para recopilar información del sistema. También aprovecha la infraestructura en la nube para ocultarse.
Las técnicas de ataque utilizadas por este nuevo malware son variadas, y se destacan: phishing, infección de múltiples etapas, evasión de control de cuentas de usuario, robo de datos de navegadores web, evasión de detección de Sandboxes, descarga de carga útil, entre otros.
La campaña, que involucra seis etapas, muestra todas las características de una secuencia de ataques meticulosamente planificados. Comienza con un correo electrónico de phishing que incluye un enlace incrustado que dirige a un archivo ZIP alojado en una instancia de Amazon EC2, lo que le permite evadir bloqueos por dominios maliciosos.
TOITOIN está equipado con la capacidad de recopilar información del sistema y extraer datos de navegadores web instalados, como Google Chrome, Microsoft Edge, Internet Explorer, Mozilla Firefox y Opera. Además, verifica si se encuentra presente el módulo antifraude Topaz Online Fraud Detection (OFD), utilizado en las plataformas bancarias de la región de LATAM.
Etapas | IoCs asociados |
Módulo de descarga |
|
DLL del cargador Krita |
|
Módulo InjectorDLL |
|
Módulo ElevsteInjectorDLL |
|
Módulo BypassUAC |
|
Troyano de TOITOIN |
|
Es fundamental encontrar un equilibrio adecuado para prever ataques cibernéticos. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. Estrategias como ZeroTrust deben ser abordadas desde este enfoque para permitir que la continuidad operacional de la empresa no se vea deteriorada por una gestión de ciberseguridad altamente restrictiva.
Considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y posean conciencia de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.
Por otra parte, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
https://thehackernews.com/2023/07/new-toitoin-banking-trojan-targeting.html