Empresas que operam na região da América Latina se tornaram alvo de um novo trojan bancário baseado em Windows chamado TOITOIN desde maio de 2023. Este trojan sofisticado segue uma cadeia de infecção de várias etapas, utilizando módulos especialmente criados em cada estágio.

Os módulos são personalizados para realizar atividades maliciosas, como injetar código malicioso em processos remotos, contornar o Controle de Conta de Usuário e evadir a detecção por Sandboxes através de técnicas inteligentes como reinicializações do sistema e verificações de processo.

A sequência de ataque de seis etapas tem todas as características de um ataque bem elaborado, começando com um e-mail de phishing contendo um link incorporado que aponta para um arquivo ZIP hospedado em uma instância da Amazon EC2 para evadir detecções baseadas em domínio.

O downloader também é responsável por gerar um script que reinicia o sistema após um tempo limite de 10 segundos. Isso é feito para “evadir a detecção do sandbox, uma vez que as ações maliciosas ocorrem apenas após a reinicialização”, disseram os pesquisadores.