Meksikalı kullanıcılar, en azından Kasım 2023’ten bu yana, daha önce belgelenmemiş bir Windows kötü amaçlı yazılımını dağıtmak için vergi temalı kimlik avı tuzaklarıyla hedefleniyor. TimbreStealer.
Cisco Talos, keşfetti Faaliyette, yazarların yetenekli olduğu ve “tehdit aktörünün Eylül 2023’te Mispadu olarak bilinen bir bankacılık truva atını dağıtmak için daha önce benzer taktikler, teknikler ve prosedürler (TTP’ler) kullandığı” ifade edildi.
Kimlik avı kampanyası, algılamayı atlatmak ve kalıcılığı sağlamak için karmaşık gizleme teknikleri kullanmanın yanı sıra, Meksika’daki kullanıcıları ayırmak için coğrafi sınırlamadan yararlanıyor ve yük siteleriyle başka konumlardan bağlantı kurulursa kötü amaçlı dosya yerine zararsız, boş bir PDF dosyası döndürüyor.
Dikkate değer kaçınma manevralarından bazıları, geleneksel API izlemeyi atlamak için özel yükleyicilerden yararlanma ve doğrudan sistem çağrılarını kullanmanın yanı sıra, yakın zamanda HijackLoader tarafından da benimsenen bir yaklaşım olan 32 bitlik bir işlem içinde 64 bitlik kodu yürütmek için Heaven’s Gate’i kullanmadır.
Kötü amaçlı yazılım, ana ikili dosyanın düzenlenmesi, şifresinin çözülmesi ve korunması için çeşitli yerleşik modüllerle birlikte gelir; aynı zamanda bir sanal alan ortamı çalıştırıp çalıştırmadığını, sistem dilinin Rusça olup olmadığını ve saat diliminin Latin Amerika dahilinde olup olmadığını belirlemek için bir dizi kontrol gerçekleştirir. bölge.
Orchestrator modülü aynı zamanda, TimbreStealer’ın birincil yükünün yürütülmesini tetikleyeceği için kullanıcıya zararsız bir tuzak dosyası görüntüleyen bir yük yükleyici bileşenini başlatmadan önce, makineye daha önce virüs bulaşmadığını iki kez kontrol etmek için dosyaları ve kayıt defteri anahtarlarını da arar. .
Yük, farklı klasörlerdeki kimlik bilgileri, sistem meta verileri ve erişilen URL’ler de dahil olmak üzere çok çeşitli verileri toplamak, belirli uzantılarla eşleşen dosyaları aramak ve uzak masaüstü yazılımının varlığını doğrulamak için tasarlanmıştır.
Cisco Talos, TimbreStealer’ın hedef sektörlerinin çeşitlilik göstermesine ve üretim ve taşımacılık sektörlerine odaklanmasına rağmen, Eylül 2023’te gözlemlenen Mispadu spam kampanyasıyla örtüşmeler tespit ettiğini söyledi.
Açıklama, Apple macOS sistemlerinden yerel kullanıcı hesabı şifreleri, Mozilla Firefox ve Chromium tabanlı tarayıcıların kimlik bilgileri, kripto cüzdanı gibi verileri toplayabilen Atomic (diğer adıyla AMOS) adlı başka bir bilgi hırsızının yeni bir sürümünün ortaya çıktığı dönemde geldi. Python ve Apple Script kodunun alışılmadık bir kombinasyonunu kullanarak bilgileri ve ilgilenilen dosyaları.
Bitdefender araştırmacısı Andrei Lapusneanu, “Yeni varyant çıkıyor ve gizli kalmak için bir Python betiği kullanıyor.” söz konusukurbanın bilgisayarından hassas dosyaların toplanmasına yönelik Apple Script bloğunun RustDoor arka kapısıyla “önemli ölçüde yüksek düzeyde benzerlik” gösterdiğine dikkat çekiyor.
Aynı zamanda yeni hırsız kötü amaçlı yazılım ailelerinin ortaya çıkmasını da takip ediyor: XSSLiteXSS forumu tarafından düzenlenen kötü amaçlı yazılım geliştirme yarışmasının bir parçası olarak piyasaya sürülen , mevcut türler gibi Ajan Tesla Ve Midilli (aka Fareit veya Siplog) bilgi hırsızlığı ve ardından hırsız günlükleri gibi pazaryerlerinde satış için kullanılmaya devam etti Çıkış.