Investigadores de ciberseguridad de la empresa ZScaler descubrieron una nueva amenaza digital que está afectando a empresas en América Latina , con especial interés en entidades financieras. Los atacantes, primero, entran a las organizaciones atacando a través de un mensaje de phishing (engaño o ingeniería social). Para lograrlo, los atacantes se valen del uso de Amazon Elastic Compute Cloud (EC2) para alojar el malware dentro de archivos comprimidos y así evadir las detecciones basadas en dominios.
A través de cada etapa, se sigue una cadena de infección de múltiples etapas utilizando los módulos personalizados por el troyano que se despliega en esta campaña. A través de los reinicios y comprobaciones de procesos, los módulos personalizados ejecutan actividades maliciosas como Inyección de código
elusión de UAC, evasión de Sandbox y despliegue del troyano TOITOIN, que es la carga útil definitiva con descifrado XOR para descifrar el archivo de configuración.
Así funciona el virus. Fuente: Zscaler
El troyano descifrado recopila los siguientes datos y los envía al servidor de los atacantes en formato codificado que incluye información del sistema Información del sistema, datos del navegador e información de Topaz OFD. Luego envía esta información al servidor del atacante en un formato codificado.
Cómo funciona el virus
La campaña dirigida utiliza la cadena de infección del malware TOITOIN, comenzando con un correo electrónico de phishing bien elaborado. En esta campaña descubierta por ZScaler, el correo electrónico engañoso se dirige estratégicamente a una empresa latinoamericana de banca de inversión.
El idioma portugués indica que se trata de un ataque a entidades de Brasil.
Con la información, los atacantes pueden diseñar nuevas campañas que afecten a sistemas más sensibles de las entidades bancarias.