Los usuarios mexicanos han sido blanco de señuelos de phishing con temas fiscales al menos desde noviembre de 2023 para distribuir un malware de Windows previamente no documentado llamado TimbreStealer.
Cisco Talos, que descubierto la actividad, describió a los autores como hábiles y que el “actor de amenazas había utilizado previamente tácticas, técnicas y procedimientos (TTP) similares para distribuir un troyano bancario conocido como Mispadu en septiembre de 2023.
Además de emplear sofisticadas técnicas de ofuscación para eludir la detección y garantizar la persistencia, la campaña de phishing utiliza geocercas para identificar a los usuarios en México, devolviendo un archivo PDF en blanco inocuo en lugar del malicioso si se contacta con los sitios de carga útil desde otras ubicaciones.
Algunas de las maniobras evasivas notables incluyen aprovechar cargadores personalizados y llamadas directas al sistema para evitar el monitoreo API convencional, además de utilizar Heaven’s Gate para ejecutar código de 64 bits dentro de un proceso de 32 bits, un enfoque que también fue adoptado recientemente por HijackLoader.
El malware viene con varios módulos integrados para la orquestación, descifrado y protección del binario principal, al mismo tiempo que ejecuta una serie de comprobaciones para determinar si está ejecutando un entorno sandbox, si el idioma del sistema no es el ruso y si la zona horaria está dentro de América Latina. región.
El módulo orquestador también busca archivos y claves de registro para verificar que la máquina no haya sido infectada previamente, antes de iniciar un componente de instalación de carga útil que muestra un archivo señuelo benigno al usuario, ya que en última instancia desencadena la ejecución de la carga útil principal de TimbreStealer. .
La carga útil está diseñada para recopilar una amplia gama de datos, incluida información de credenciales de diferentes carpetas, metadatos del sistema y las URL a las que se accede, buscar archivos que coincidan con extensiones específicas y verificar la presencia de software de escritorio remoto.
Cisco Talos dijo que identificó superposiciones con una campaña de spam de Mispadu observada en septiembre de 2023, aunque las industrias objetivo de TimbreStealer son variadas y se centran en los sectores de fabricación y transporte.
La divulgación se produce en medio de la aparición de una nueva versión de otro ladrón de información llamado Atomic (también conocido como AMOS), que es capaz de recopilar datos de los sistemas Apple macOS, como contraseñas de cuentas de usuarios locales, credenciales de Mozilla Firefox y navegadores basados en Chromium, billeteras criptográficas. información y archivos de interés, utilizando una combinación inusual de código Python y Apple Script.
“La nueva variante cae y utiliza un script Python para permanecer encubierta”, investigador de Bitdefender Andrei Lapusneanu dichoseñalando que el bloque Apple Script para recopilar archivos confidenciales de la computadora de la víctima muestra un “nivel significativamente alto de similitud” con la puerta trasera RustDoor.
También sigue la aparición de nuevas familias de malware ladrón como XSSLiteque se lanzó como parte de una competencia de desarrollo de malware organizada por el foro XSS, incluso cuando cepas existentes como Agente Tesla y Poni (también conocido como Fareit o Siplog) continuó utilizándose para el robo de información y su posterior venta en mercados de ladrones de registros como éxodo.