В исследованиях, проведенных в области кибербезопасности, особое внимание уделяется банковскому троянцу TgToxic, который был впервые обнаружен компанией Trend Micro в июле 2022 года. Эта вредоносная программа нацелена на кражу учетных данных пользователей, криптовалюты и средств из финансовых приложений. Начальные кампании ТgToxic были ориентированы, в первую очередь, на мобильных пользователей в Юго-Восточной Азии, с использование методов социальной инженерии.
Методы распространения и цели атаки
Троянец использует разнообразные методы для распространения, включая:
- Фишинговые сайты и мошеннические приложения, представляющиеся законными серверами.
- Взломанные аккаунты в социальных сетях.
- Приложения, выдающиеся за платформы для знакомств или обмена сообщениями.
Новые версии и стратегия расширения
В октябре 2024 года специалисты из Cleafy идентифицировали новую версию под названием ToxicPanda strain, что указывает на продолжающееся развитие вредоносной программы. Несмотря на снижение технической сложности, хакеры начали расширять свои операции, нацелившись на европейские и латиноамериканские финансовые учреждения.
Обновленная версия и методы защиты
По данным анализа Intel 471, проведенного в ноябре 2024 года, хакеры использовали обновленную версию TgToxic. Эта версия охватывает 25 форумов, где размещены зашифрованные конфигурации вредоносных программ. Основной акцент был сделан на:
- Создание учетных записей пользователей для вставки зашифрованных строк, используемых как адреса C2.
- Переход от метода «скрытого доступа» к алгоритму генерации доменов (DGA).
Внедрение DGA улучшает устойчивость вредоносного ПО, позволяя автоматически генерировать новые адреса servidores C2.
Современные угрозы и меры защиты
Последние версии Telegram внедрили улучшенные механизмы для обнаружения эмуляторов, что позволяет обойти системы автоматического анализа. Это включает проверки критически важных систем Android и аппаратного обеспечения устройств. Кроме того, начиная с декабря 2024 года, был зафиксирован третий вариант TgToxic с применением DGA для динамической генерации доменных имен.
Данное действие значительно усложняет отслеживание и блокировку действий служб безопасности, что свидетельствует о высоком уровне осведомленности операторов TgToxic о современных методах защиты.
Заключение
Развивающийся характер TgToxic подчеркивает важность надежных протоколов безопасности. Хакеры демонстрируют способность адаптироваться к меняющимся условиям киберугроз, что делает необходимыми внедрение адаптивных механизмов защиты для противостояния подобным сложным и эволюционирующим угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция TgToxic: угроза кибербезопасности от банковского троянца".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.