0
0
Uma campanha de malware sofisticada e evasiva está visando empresas na América Latina com um ataque em vários estágios que começa com phishing e termina com a implantação de um novo Trojan chamado Toitoin, que rouba informações e dados críticos do sistema de instituições financeiras.
Os pesquisadores da Zscaler descobriram a elaborada campanha, que apresenta uma cadeia de infecção de vários estágios que usa módulos personalizados ao longo de cada estágio, para injetar código prejudicial em processos remotos e contornar o controle de conta de usuário (UAC), entre outras atividades.
“A cadeia de infecção em vários estágios observada nesta campanha envolve o uso de módulos desenvolvidos sob medida que empregam várias técnicas de evasão e métodos de criptografia”, revelaram os pesquisadores em um post publicado na semana passada.
As táticas evasivas incluem aproveitar o Amazon Elastic Compute Cloud (EC2) para hospedar o malware em arquivos .zip compactados.
“Ao aproveitar as instâncias do Amazon EC2, os agentes de ameaças evitam as detecções baseadas em domínio, tornando mais desafiador detectar e bloquear suas atividades”, escreveram os pesquisadores no post.
Os arquivos .zip também empregam sua própria manobra evasiva, gerando um nome de arquivo novo e gerado aleatoriamente a cada download. Isso permite que eles evitem a detecção com base em padrões estáticos de nomenclatura de arquivos. “Essa tática adiciona uma camada adicional de complexidade à campanha, tornando mais desafiador identificar e mitigar a ameaça de forma eficaz”, observaram os pesquisadores.
A carga final Toitoin é um malware Trojan construído para atacar alvos financeiros, apelidado de Toitoin, que reúne informações do sistema, bem como dados relativos aos navegadores instalados e ao Topaz OFD Protection Module, específico do setor bancário, e o envia para o comando e controle do invasor (C2) em um formato codificado, disseram eles.
E-mail para Trojan em 6 passos
Os pesquisadores interceptaram um e-mail de phishing enviado a uma proeminente empresa de banco de investimento na América Latina que, segundo eles, representa o primeiro estágio do ataque. Ele aproveita a engenharia social para incutir um senso de urgência, usando uma isca de notificação de pagamento pedindo ao destinatário que clique em um botão para visualizar uma fatura para ação imediata.
O link no e-mail desencadeia uma cadeia de redirecionamentos e eventos que, em última análise, levam ao download de um arquivo de .zip malicioso no sistema da vítima que “começa a se infiltrar em suas defesas”, escreveram os pesquisadores.
Os arquivos maliciosos desencadeiam a cadeia de infecção Toitoin, que é complexa e é executada em seis estágios que começam com um módulo de download e terminam com a implantação do Trojan. No meio, ele implanta vários módulos de malware, incluindo o Kirta Loader DLL, InjectorDLL Module, ElevateInjectionDLL module, e BypassUAC Module, cada um com sua própria função específica.
O módulo de download de primeiro estágio baixa outros estágios do ataque e evita sandboxes por meio de reinicializações do sistema, mantendo a persistência usando arquivos LNK. A DLL do Krita Loader, que é sideload por meio de um binário assinado, carrega o próximo módulo, o InjectorDLL. Isso, por sua vez, injeta a ElevateInjectorDLL no processo remoto, onde ele evita sandboxes, executa o esvaziamento do processo e injeta o Trojan Toitoin nesse ponto ou o módulo BypassUAC com base nos privilégios do processo.
O módulo BypassUAS faz o que seu nome implica — ignora o UAC usando o Moniker de Elevação COM para a execução do Krita Loader com privilégios de administrador. Isso também garante que a próxima etapa do processo — a carga final, Toitoin — seja executada com privilégios elevados.
“A carga útil do malware é injetada em processos legítimos, como explorer.exe e svchost.exe, para evitar a detecção e manter a persistência em sistemas comprometidos”, explicaram os pesquisadores.
A Toitoin exfiltra informações do sistema — incluindo nomes de computadores, versões do Windows, navegadores instalados e outros dados relevantes — e as envia de volta aos invasores, adaptando seu comportamento com base nas informações que coleta, bem como na presença detectada do Topaz OFD – Módulo de Proteção.
Evitando o comprometimento de malware
Campanhas de malware sofisticadas como a Toitoin exigem uma resposta semelhante das organizações que visam, disseram os pesquisadores. Isso inclui medidas robustas de segurança cibernética e monitoramento contínuo, bem como gerenciamento consistente de patches e atualização do sistema para garantir que as proteções mais recentes estejam em vigor em todo o ambiente, disseram eles.
As organizações também podem adotar uma abordagem de confiança zero em relação à segurança para se armar melhor contra cadeias de ataque complexas, disseram os pesquisadores. Em uma abordagem de confiança zero, todo o tráfego, incluindo comunicações por e-mail e navegação na Web, é inspecionado e analisado em tempo real, independentemente da localização ou dispositivo do usuário.
“Essa inspeção abrangente ajuda a identificar e bloquear e-mails maliciosos, tentativas de phishing e URLs suspeitos associados a campanhas de malware como a Toitoin”, observaram os pesquisadores.
As organizações também podem implantar plataformas de segurança que usam inteligência avançada de ameaças e algoritmos de aprendizado de máquina para detectar e bloquear variantes de malware conhecidas e desconhecidas para se defender.
“Ao se manterem informadas e proativas, as empresas podem efetivamente se defender contra ameaças cibernéticas emergentes e proteger seus ativos críticos”, disseram os pesquisadores.
FONTE: DARK READING