根据The Hacker News的报道,自五月以来,TOINTOIN 银行木马攻击已经针对拉美地区的Windows系统展开。威胁行为者通过发送包含重定向链接的钓鱼邮件进行入侵,这些链接指向一个托管在Amazon EC2上的ZIP档案。根据Zscaler的报告,这个ZIP档案通过Windows启动文件夹中的LNK文件实现持久性,并从远程服务器下载六个额外的有效载荷,格式为MP3文件。
一旦执行了获取的有效ZOHOS签名二进制文件,就会触发一个恶意的Krita Loader DLL的侧载,该DLL随后部署InjectorDLL模块,最终引入TOINTOIN木马。这款木马不仅收集浏览器存储的信息,还监控目标设备中Topaz在线欺诈检测系统的存在。研究人员表示:“通过欺骗性的钓鱼邮件、复杂的重定向机制和域名多样化,威胁行为者成功传递了他们的恶意载荷在本次攻击中观察到的多阶段感染链使用了定制开发的模块,采用了多种规避技术和加密方法。”
海鸥加速器下载安装免费攻击步骤描述1 钓鱼邮件攻击者发送带有重定向链接的钓鱼邮件,诱导用户点击。2 下载ZIP档案点击链接后,下载的ZIP档案用于持久性攻击。3 执行有效负载执行获取的ZOHOS签名二进制文件,触发侧载恶意DLL。4 部署TOINTOIN最终引入TOINTOIN木马,监控和收集用户信息。该事件凸显了网络安全领域中复杂攻击模式的演变,企业需提高警惕,加强安全防护措施,以抵御不断演化的威胁。
