Nuevo troyano bancario amenaza a las organizaciones en América Latina

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

La unidad de investigación de SILIKN ha emitido una alerta por la presencia en México de un troyano bancario basado en Windows llamado TOITOIN. Este troyano ha estado robando información financiera confidencial de organizaciones en América Latina, desde mayo de 2023.




TOITOIN sigue una cadena de infección de múltiples etapas, utilizando módulos especialmente diseñados para llevar a cabo actividades maliciosas, como inyectar código dañino en procesos remotos, eludir el control de cuentas de los usuarios y evadir la detección de sandboxes a través de técnicas inteligentes como reinicios del sistema y verificaciones de procesos principales.




Los ataques de TOITOIN comienzan con un correo electrónico de phishing que contiene un enlace que apunta a un archivo ZIP, alojado en una instancia de Amazon EC2 para evadir las detecciones.




Los mensajes de correo electrónico utilizan un señuelo con el tema de facturación para engañar a los usuarios y que activen la infección. Dentro del archivo ZIP hay un ejecutable de descarga que está diseñado para configurar la persistencia y comunicarse con un servidor remoto para solicitar e instalar seis cargas útiles que se ejecutan en las etapas posteriores.




Esta técnica permite que el malware manipule los archivos del sistema y ejecute comandos con privilegios elevados, lo que facilita más actividades maliciosas. TOITOIN viene con capacidades para recopilar información del sistema, así como datos de recolección de navegadores web instalados. Además, verifica la presencia de Topaz OFD Anti-Fraud Intelligence, una solución que actúa para prevenir el fraude financiero y mitigar los riesgos operativos y transaccionales en canales digitales como la banca por Internet, la banca móvil y las soluciones de incorporación.




A través de correos electrónicos de phishing engañosos, mecanismos de redireccionamiento y diversificación de dominios, los cibercriminales distribuyen con éxito su carga maliciosa, como parte de una campaña que implica el uso de módulos desarrollados a medida que emplean varias técnicas de evasión y métodos de cifrado.




Se desconoce el desarrollador del troyano bancario TOITOIN. Sin embargo, se cree que es obra de un sofisticado grupo de ciberdelincuencia. El malware está bien diseñado y utiliza una cadena de infección de varias etapas para entregar su carga útil. Esto sugiere que los desarrolladores tienen una buena comprensión del desarrollo de malware y tienen experiencia en apuntar a empresas en América Latina.




TOITOIN utiliza una variedad de técnicas para evadir la detección por parte del software antivirus, que incluyen:

- Ofuscación del código de malware

- Uso de software legítimo como mecanismo de entrega

- Comunicación con el servidor de comando y control a través de canales encriptados




Como resultado de estas técnicas, TOITOIN es un malware difícil de detectar y eliminar. Las empresas en México y América Latina deben ser conscientes de esta amenaza y tomar medidas para proteger sus equipos de infecciones, tales como:




- Usar firewall y software antivirus.

- Mantener el software actualizado.

- Capacitar a sus empleados sobre cómo identificar y evitar correos electrónicos de phishing.

- Tener cuidado con el software que descarga e instala.




Para más información, visite: https://www.silikn.com/