Вредоносное ПО TimbreStealer

С ноября 2023 года отдельные лица в Мексике подвергаются фишинговым схемам на налоговую тематику с целью распространения недавно выявленного вредоносного ПО для Windows под названием TimbreStealer. Исследователи, раскрывшие эту кампанию, охарактеризовали злоумышленников как опытных, отметив, что эти злоумышленники использовали аналогичную тактику, методы и процедуры (TTP) в сентябре 2023 года для развертывания банковского трояна под названием Mispadu .

Киберпреступники атакуют пользователей в Мексике с помощью TimbreStealer

Помимо использования передовых методов запутывания для уклонения от обнаружения и сохранения устойчивости, фишинговая кампания включает в себя геозонирование, нацеленное конкретно на пользователей в Мексике. Когда доступ к сайтам полезной нагрузки осуществляется из мест за пределами Мексики, кампания возвращает, казалось бы, безобидный пустой PDF-файл вместо вредоносного.

Примечательна применяемая тактика уклонения, включающая использование специальных загрузчиков и прямых системных вызовов для обхода обычного мониторинга API. Кроме того, кампания использует Heaven's Gate для выполнения 64-битного кода в 32-битном процессе — метод, недавно принятый HijackLoader .

TimbreStealer оснащен разнообразным набором угрожающих возможностей

Вредоносное ПО оснащено различными встроенными модулями, предназначенными для оркестровки, расшифровки и защиты основного двоичного файла. Одновременно он проводит несколько проверок, чтобы выяснить, работает ли он в среде «песочницы», не является ли системный язык русским и попадает ли часовой пояс в латиноамериканский регион.

Модуль оркестратора проводит дополнительные проверки путем поиска файлов и ключей реестра, чтобы подтвердить, что машина ранее не была заражена. После этого он запускает компонент установщика полезной нагрузки, предоставляя пользователю безопасный файл-приманку. Однако «за кулисами» это действие запускает выполнение основной полезной нагрузки TimbreStealer.

Основная полезная нагрузка предназначена для сбора широкого спектра данных, включая учетную информацию из различных папок, системные метаданные и URL-адреса, к которым осуществляется доступ. Он активно ищет файлы с определенными расширениями и проверяет наличие программного обеспечения для удаленного рабочего стола.

Вредоносная программа-инфостилер может привести к серьезным последствиям для жертв

Вредоносное ПО Infostealer представляет серьезную угрозу для жертв, поскольку оно специально разработано для скрытного проникновения в системы и кражи конфиденциальной информации, что приводит к серьезным последствиям. Вот несколько способов, которыми вредоносное ПО Infostealer может иметь пагубные последствия:

• Кража данных . Основная цель вредоносного ПО Infostealer — сбор конфиденциальной информации, такой как учетные данные для входа, личные данные, финансовые данные и интеллектуальная собственность. Как только эта информация будет скомпрометирована, она может быть использована для различных вредоносных действий, включая кражу личных данных, финансовое мошенничество или несанкционированный доступ к учетным записям.

• Финансовые потери . Вредоносное ПО Infostealer часто нацелено на финансовую информацию, что может привести к прямым финансовым потерям для отдельных лиц и организаций. Киберпреступники могут использовать собранные банковские учетные данные для инициирования нелицензионных транзакций или получения доступа к финансовым счетам.

• Вторжение в конфиденциальность . Кража личной и конфиденциальной информации с помощью вредоносного ПО Infostealer может привести к серьезному вторжению в частную жизнь. Жертвы могут столкнуться с злоупотреблением доверием и проблемами при восстановлении своей личности в Интернете.

• Нарушение бизнеса . В случае организаций вредоносное ПО Infostealer может привести к нарушению бизнеса. Потеря конфиденциальных бизнес-данных или коммерческой тайны может нанести ущерб конкурентоспособности компании, а несанкционированный доступ к критически важным системам может привести к простою в работе.

• Ущерб репутации . Раскрытие конфиденциальной информации, особенно если она касается данных клиентов или сотрудников, может серьезно повредить репутации человека или организации. Доверие и авторитет могут быть подорваны, и восстановление доверия может потребовать значительного времени и усилий.

• Расширенная компрометация : вредоносное ПО Infostealer часто является частью более широкой кибератаки. Как только произойдет первоначальное нарушение, злоумышленники могут установить дополнительные вредоносные инструменты, установить постоянный доступ и продолжать использовать скомпрометированную систему в течение длительного периода.

Таким образом, вредоносное ПО-похититель информации может привести к целому ряду негативных последствий: от финансовых потерь и вторжения в частную жизнь до репутационного ущерба и юридических последствий. Частные лица и организации должны применять надежные меры кибербезопасности для предотвращения, раскрытия и смягчения рисков, связанных с угрозами Infostealer.