Siber suçlular, tüketicilerden ziyade kuruluşlara odaklanan vergi mevsimiyle ilgili kimlik avı tuzaklarıyla hedefleri yakalayarak Meksika genelinde yeni bir bilgi hırsızlığı yayıyor.
Cisco Talos’un gözlemlediği kampanya Odaklanmamış ancak geniş kapsamlı yeni bir bilgi hırsızı olan “Timbre Stealer”ın ilk örneklerinin ilk kez kötü niyetli e-postalar yoluyla hedeflere yayılmaya başladığı Kasım ayına kadar uzanıyor. O zamandan bu yana, başta üretim ve taşımacılık olmak üzere çeşitli sektörlerdeki kuruluşlara yayıldı.
Son zamanlarda tehdit aktörleri, kurumsal hedeflerini hazırlıksız yakalamak ve Timbre Stealer’ın daha da yayılmasını sürdürmek için Meksika’nın vergi sezonunu (zamanlaması büyük ölçüde ABD’ninkiyle örtüşen) kullanarak kimlik avı mesajlarını geliştirdi.
Timbre Stealer’ın Bir Dağılımı
Timbre Stealer, infazın ardından ilk olarak yeni virüs bulaşan makinenin ilgi çekici olup olmadığını belirler. Özellikle sistem dilinin Rusça olmadığını (belki de bu kampanyanın arkasındaki tehdit aktörüne dair bir ipucu) ve saat diliminin Latin Amerika ile uyumlu olup olmadığını kontrol ediyor.
Daha sonra sisteme daha önce virüs bulaşmadığını ve sandbox ortamında çalışmadığını bir kez daha kontrol eder. Diğer gizlilik mekanizmaları arasında özel yükleyicilerin kullanımı, standart API izlemeyi atlayan doğrudan sistem çağrıları ve altyapısına erişimi yalnızca belirli bir coğrafi bölgedeki kullanıcılarla kısıtlama yer alıyor.
Cisco Talos’un tehdit araştırmacısı Guilherme Venere, “Aktörlerin genellikle anti-analiz teknikleri uyguladığını görüyoruz; bu steroidler üzerinde geçerli” diyor. “Bu tehdidin arkasındaki yazarlar yalnızca anti-analiz uygulamakla kalmıyor; ellerinden geldiğince çok sayıda anti-analiz yeteneği de uyguluyorlar; bu da araştırmacının onu parçalara ayırmasının yanı sıra teknolojinin onu tespit etmesini de zorlaştırıyor.”
Timbre Stealer sağlam bir şekilde yerleştikten sonra kurbanın içinden geçerek geniş bir yelpazede çeşitli veriler toplayarak işine başlar.
İşletim sisteminden bilgi toplamak için Windows Yönetim Araçları (WMI) arayüzünü ve kayıt defteri anahtarlarını kullanır. Ayrıca, tamamen açık olmayan amaçlar için Masaüstü, Belgeler ve İndirilenler klasörleri gibi bir dizi temel dizini de tarar.
Kodundaki belirli dizeler, Microsoft Office ve OneDrive, Windows Media Player, çeşitli tarayıcılar (Firefox, Microsoft Edge, Internet Explorer ve Chrome), Dropbox, Avast, AMD, Brother gibi uygulamalarla ilgili bilgiler için dosyaları ve dizinleri taradığını gösterir. , HP, Intel ve daha fazlası.
Talos araştırmacıları, Google.com, Wikipedia.org, Facebook.com ve benzeri gibi popüler web siteleriyle ilgili belirli URL’lerle de ilgileniyor. Talos araştırmacıları bunların ağ koklama yetenekleriyle ilgili olabileceğini düşünüyor.
Vergi Sezonu Dolandırıcılıklarına Dikkat Edin
Tatil sezonu alışverişlerinde olduğu gibi, vergi son tarihleri de finansal motivasyona sahip siber saldırganlar için güvenilir bir şekilde verimli bir zemin sağlar.
Venere’nin açıkladığı gibi, “Her yıl aktörlerin güncel olaylardan yararlandığını görüyoruz ve vergi mevsimi en büyüklerinden biri. Ne yazık ki, büyük miktarlarda para içerdiği için suçlular için pek çok kutuyu işaretliyor, değerli kişisel olarak tanımlanabilir bilgiler (PII)ve her yetişkinin uğraşması gereken bir şeydir. Bunları birleştirdiğinizde para kazanmak isteyen suçlular için mükemmel bir fırtına oluyor.”
Vergiler de karmaşık, sıkıcı ve stresli faktörlerdir; bu faktörler, mağdurların neye tıkladıkları konusunda daha az seçici olmalarına neden olabilir.
Örneğin bu son kampanyada saldırganlar, genel faturaların yanı sıra, Meksika’nın vergi raporlaması için kullanılan zorunlu elektronik fatura standardı olan “Comprobante Fiscal Digital por Internet” (CDFI) (İngilizce: çevrimiçi mali dijital fatura) etrafında bir tuzak tasarladılar. İlgisiz ve farkında olmayan hedefler kötü niyetli bağlantıyı takip ettiğinde Timbre Stealer’ı indirmeye yönlendirilirler.
Siber güvenliğe genel kapsamlı savunma yaklaşımının yanı sıra Venere, yılın bu zamanlarında “kuruluşların daha dikkatli olmaları gerektiğini” tavsiye ediyor vergiye dayalı spam’in yaygınlığı hakkında kullanıcı eğitimiFinans gibi etkilenmesi en muhtemel alanlara odaklanıyoruz.”