Programari maliciós TimbreStealer

Des del novembre de 2023, les persones a Mèxic han estat sotmeses a esquemes de pesca de temàtica fiscal amb l'objectiu de difondre un programari maliciós de Windows recentment identificat anomenat TimbreStealer. Els investigadors que van desenterrar aquesta campanya van caracteritzar els autors com a competents, i van assenyalar que aquests actors d'amenaça havien emprat tàctiques, tècniques i procediments anàlegs (TTP) el setembre de 2023 per desplegar un troià bancari anomenat Mispadu .

Els ciberdelinqüents es dirigeixen als usuaris a Mèxic amb TimbreStealer

A més d'utilitzar mètodes avançats d'ofuscament per evadir la detecció i mantenir la persistència, la campanya de pesca incorpora geofencing per orientar específicament als usuaris de Mèxic. Quan s'accedeix als llocs de càrrega útil des d'ubicacions fora de Mèxic, la campanya retorna un fitxer PDF en blanc aparentment inofensiu en lloc del maliciós.

Cal destacar les tàctiques d'evasió emprades, que inclouen l'ús de carregadors personalitzats i trucades directes al sistema per evitar la supervisió convencional de l'API. A més, la campanya utilitza Heaven's Gate per executar codi de 64 bits dins d'un procés de 32 bits, una tècnica adoptada recentment per HijackLoader també.

TimbreStealer està equipat amb un conjunt divers de capacitats amenaçadores

El programari maliciós està equipat amb diversos mòduls integrats dedicats a l'orquestració, el desxifrat i la salvaguarda del binari principal. Simultàniament, realitza diverses comprovacions per comprovar si funciona en un entorn sandbox, si l'idioma del sistema no és el rus i si la zona horària es troba dins d'una regió llatinoamericana.

El mòdul orquestrator realitza inspeccions addicionals cercant fitxers i claus de registre per confirmar que la màquina no s'ha infectat prèviament. Després d'això, s'inicia el component d'instal·lador de càrrega útil, presentant a l'usuari un fitxer d'engany benigne. Tanmateix, entre bastidors, aquesta acció desencadena l'execució de la càrrega útil principal de TimbreStealer.

La càrrega útil principal està dissenyada per recollir una àmplia gamma de dades, que inclou informació de credencials de diverses carpetes, metadades del sistema i URL als quals s'ha accedit. Cerca activament fitxers amb extensions específiques i valida la presència de programari d'escriptori remot.

Un programari maliciós Infostealer pot tenir repercussions importants per a les víctimes

El programari maliciós Infostealer suposa una greu amenaça per a les víctimes, ja que està dissenyat específicament per infiltrar-se en els sistemes de manera encoberta i exfiltrar informació sensible, provocant repercussions importants. Aquí hi ha algunes maneres en què el programari maliciós Infostealer pot tenir efectes perjudicials:

• Robatori de dades : l'objectiu principal del programari maliciós Infostealer és recollir informació sensible, com ara credencials d'inici de sessió, dades personals, detalls financers i propietat intel·lectual. Una vegada que aquesta informació està compromesa, es pot utilitzar per a diverses activitats malicioses, com ara robatori d'identitat, frau financer o accés no autoritzat als comptes.

• Pèrdues financeres : el programari maliciós Infostealer sovint s'orienta a la informació financera, cosa que pot provocar pèrdues financeres directes per a persones i organitzacions. Els ciberdelinqüents poden utilitzar les credencials bancàries recollides per iniciar transaccions sense llicència o accedir als comptes financers.

• Invasió de la privadesa : el robatori d'informació personal i confidencial mitjançant el programari maliciós Infostealer pot provocar una profunda invasió de la privadesa. Les víctimes poden experimentar una violació de la confiança i enfrontar-se a reptes per restaurar la seva identitat en línia.

• Interrupció empresarial : en el cas de les organitzacions, el programari maliciós Infostealer pot provocar una interrupció empresarial. La pèrdua de dades empresarials sensibles o secrets comercials pot perjudicar l'avantatge competitiu d'una empresa i l'accés no autoritzat a sistemes crítics pot provocar temps d'inactivitat operacional.

• Danys a la reputació : l'exposició d'informació sensible, especialment si es tracta de dades de clients o empleats, pot danyar greument la reputació d'una persona o una organització. La confiança i la credibilitat es poden erosionar, i es pot necessitar temps i esforç importants per recuperar la confiança.

• Compromís estès : el programari maliciós Infostealer sovint forma part d'un ciberatac més ampli. Un cop es produeix l'incompliment inicial, els atacants poden instal·lar eines malicioses addicionals, establir un accés persistent i continuar explotant el sistema compromès durant un període prolongat.

Així, bàsicament, el programari maliciós infostealer pot provocar una cascada de conseqüències negatives, que van des de pèrdues financeres i invasió de la privadesa fins a danys a la reputació i repercussions legals. Les persones i les organitzacions han d'emprar mesures sòlides de ciberseguretat per prevenir, revelar i mitigar els riscos associats a les amenaces d'Infostealer.