Malware TimbreStealer
Dal novembre 2023, gli individui in Messico sono stati soggetti a schemi di phishing a tema fiscale volti a diffondere un malware Windows recentemente identificato denominato TimbreStealer. I ricercatori che hanno portato alla luce questa campagna hanno definito gli autori degli attacchi abili, sottolineando che questi autori delle minacce avevano utilizzato tattiche, tecniche e procedure (TTP) analoghe nel settembre 2023 per implementare un trojan bancario denominato Mispadu .
Sommario
I criminali informatici prendono di mira gli utenti in Messico con TimbreStealer
Oltre a utilizzare metodi di offuscamento avanzati per eludere il rilevamento e mantenere la persistenza, la campagna di phishing incorpora il geofencing per colpire specificamente gli utenti in Messico. Quando si accede ai siti di payload da località al di fuori del Messico, la campagna restituisce un file PDF vuoto apparentemente innocuo invece di quello dannoso.
Degne di nota sono le tattiche di evasione impiegate, che prevedono l’uso di caricatori personalizzati e chiamate di sistema dirette per aggirare il monitoraggio API convenzionale. Inoltre, la campagna utilizza Heaven's Gate per eseguire codice a 64 bit all'interno di un processo a 32 bit, una tecnica recentemente adottata anche da HijackLoader .
TimbreStealer è dotato di una serie diversificata di capacità minacciose
Il malware è dotato di vari moduli incorporati dedicati all'orchestrazione, alla decrittografia e alla salvaguardia del file binario principale. Allo stesso tempo, effettua diversi controlli per accertare se opera in un ambiente sandbox, se la lingua del sistema non è il russo e se il fuso orario rientra in una regione dell’America Latina.
Il modulo orchestratore esegue ulteriori ispezioni ricercando file e chiavi di registro per confermare che la macchina non sia stata precedentemente infettata. Successivamente, avvia il componente di installazione del payload, presentando all'utente un file esca benigno. Tuttavia, dietro le quinte, questa azione attiva l'esecuzione del payload primario di TimbreStealer.
Il payload principale è realizzato per raccogliere un'ampia gamma di dati, comprese informazioni sulle credenziali da varie cartelle, metadati di sistema e URL a cui si accede. Cerca attivamente file con estensioni specifiche e convalida la presenza di software desktop remoto.
Un malware Infostealer può portare a ripercussioni significative per le vittime
Il malware Infostealer rappresenta una seria minaccia per le vittime poiché è specificamente progettato per infiltrarsi di nascosto nei sistemi ed esfiltrare informazioni sensibili, portando a ripercussioni significative. Ecco alcuni modi in cui il malware Infostealer può avere effetti dannosi:
- Furto di dati : lo scopo principale del malware Infostealer è raccogliere informazioni sensibili, come credenziali di accesso, dati personali, dettagli finanziari e proprietà intellettuale. Una volta compromesse, queste informazioni possono essere utilizzate per varie attività dannose, tra cui furto di identità, frode finanziaria o accesso non autorizzato agli account.
- Perdite finanziarie : il malware Infostealer spesso prende di mira le informazioni finanziarie, il che può portare a perdite finanziarie dirette per individui e organizzazioni. I criminali informatici possono utilizzare le credenziali bancarie raccolte per avviare transazioni senza licenza o ottenere l'accesso a conti finanziari.
- Invasione della privacy : il furto di informazioni personali e riservate tramite il malware Infostealer può comportare una profonda invasione della privacy. Le vittime potrebbero subire una violazione della fiducia e affrontare difficoltà nel ripristinare la propria identità online.
- Interruzione dell'attività : nel caso delle organizzazioni, il malware Infostealer può portare all'interruzione dell'attività. La perdita di dati aziendali sensibili o di segreti commerciali può danneggiare il vantaggio competitivo di un'azienda e l'accesso non autorizzato ai sistemi critici può portare a tempi di inattività operativa.
- Danno alla reputazione : l'esposizione di informazioni sensibili, soprattutto se coinvolge dati di clienti o dipendenti, può danneggiare gravemente la reputazione di un individuo o di un'organizzazione. La fiducia e la credibilità potrebbero essere erose e potrebbero essere necessari molto tempo e sforzi per ricostruire la fiducia.
- Compromesso esteso : il malware Infostealer è spesso parte di un attacco informatico più ampio. Una volta avvenuta la violazione iniziale, gli aggressori possono installare ulteriori strumenti dannosi, stabilire un accesso persistente e continuare a sfruttare il sistema compromesso per un periodo prolungato.
Quindi, in sostanza, il malware infostealer può portare a una cascata di conseguenze negative, che vanno dalle perdite finanziarie e all’invasione della privacy ai danni alla reputazione e alle ripercussioni legali. Gli individui e le organizzazioni devono adottare solide misure di sicurezza informatica per prevenire, divulgare e mitigare i rischi associati alle minacce Infostealer.
