{"id":1207156,"date":"2024-02-28T09:29:29","date_gmt":"2024-02-28T09:29:29","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-timbrestealer-que-se-propaga-a-traves-de-una-estafa-de-phishing-con-tematica-fiscal-se-dirige-a-los-usuarios-de-ti\/"},"modified":"2024-02-28T09:29:34","modified_gmt":"2024-02-28T09:29:34","slug":"el-malware-timbrestealer-que-se-propaga-a-traves-de-una-estafa-de-phishing-con-tematica-fiscal-se-dirige-a-los-usuarios-de-ti","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-timbrestealer-que-se-propaga-a-traves-de-una-estafa-de-phishing-con-tematica-fiscal-se-dirige-a-los-usuarios-de-ti\/","title":{"rendered":"El malware TimbreStealer que se propaga a trav\u00e9s de una estafa de phishing con tem\u00e1tica fiscal se dirige a los usuarios de TI"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ataque de phishing\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los usuarios mexicanos han sido blanco de se\u00f1uelos de phishing con temas fiscales al menos desde noviembre de 2023 para distribuir un malware de Windows previamente no documentado llamado TimbreStealer<\/strong>.<\/p>\n

Cisco Talos, que descubierto<\/a> la actividad, describi\u00f3 a los autores como h\u00e1biles y que el “actor de amenazas hab\u00eda utilizado previamente t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) similares para distribuir un troyano bancario conocido como Mispadu en septiembre de 2023.<\/p>\n

Adem\u00e1s de emplear sofisticadas t\u00e9cnicas de ofuscaci\u00f3n para eludir la detecci\u00f3n y garantizar la persistencia, la campa\u00f1a de phishing utiliza geocercas para identificar a los usuarios en M\u00e9xico, devolviendo un archivo PDF en blanco inocuo en lugar del malicioso si se contacta con los sitios de carga \u00fatil desde otras ubicaciones.<\/p>\n

Algunas de las maniobras evasivas notables incluyen aprovechar cargadores personalizados y llamadas directas al sistema para evitar el monitoreo API convencional, adem\u00e1s de utilizar Heaven’s Gate para ejecutar c\u00f3digo de 64 bits dentro de un proceso de 32 bits, un enfoque que tambi\u00e9n fue adoptado recientemente por HijackLoader.<\/p>\n

\"La<\/a><\/center><\/div>\n

El malware viene con varios m\u00f3dulos integrados para la orquestaci\u00f3n, descifrado y protecci\u00f3n del binario principal, al mismo tiempo que ejecuta una serie de comprobaciones para determinar si est\u00e1 ejecutando un entorno sandbox, si el idioma del sistema no es el ruso y si la zona horaria est\u00e1 dentro de Am\u00e9rica Latina. regi\u00f3n.<\/p>\n

El m\u00f3dulo orquestador tambi\u00e9n busca archivos y claves de registro para verificar que la m\u00e1quina no haya sido infectada previamente, antes de iniciar un componente de instalaci\u00f3n de carga \u00fatil que muestra un archivo se\u00f1uelo benigno al usuario, ya que en \u00faltima instancia desencadena la ejecuci\u00f3n de la carga \u00fatil principal de TimbreStealer. .<\/p>\n

La carga \u00fatil est\u00e1 dise\u00f1ada para recopilar una amplia gama de datos, incluida informaci\u00f3n de credenciales de diferentes carpetas, metadatos del sistema y las URL a las que se accede, buscar archivos que coincidan con extensiones espec\u00edficas y verificar la presencia de software de escritorio remoto. <\/p>\n

\"Malware<\/a><\/div>\n

Cisco Talos dijo que identific\u00f3 superposiciones con una campa\u00f1a de spam de Mispadu observada en septiembre de 2023, aunque las industrias objetivo de TimbreStealer son variadas y se centran en los sectores de fabricaci\u00f3n y transporte.<\/p>\n

La divulgaci\u00f3n se produce en medio de la aparici\u00f3n de una nueva versi\u00f3n de otro ladr\u00f3n de informaci\u00f3n llamado Atomic (tambi\u00e9n conocido como AMOS), que es capaz de recopilar datos de los sistemas Apple macOS, como contrase\u00f1as de cuentas de usuarios locales, credenciales de Mozilla Firefox y navegadores basados \u200b\u200ben Chromium, billeteras criptogr\u00e1ficas. informaci\u00f3n y archivos de inter\u00e9s, utilizando una combinaci\u00f3n inusual de c\u00f3digo Python y Apple Script.<\/p>\n

\"La<\/a><\/center><\/div>\n

“La nueva variante cae y utiliza un script Python para permanecer encubierta”, investigador de Bitdefender Andrei Lapusneanu dicho<\/a>se\u00f1alando que el bloque Apple Script para recopilar archivos confidenciales de la computadora de la v\u00edctima muestra un “nivel significativamente alto de similitud” con la puerta trasera RustDoor.<\/p>\n

\"\"<\/a><\/div>\n

Tambi\u00e9n sigue la aparici\u00f3n de nuevas familias de malware ladr\u00f3n como XSSLite<\/a>que se lanz\u00f3 como parte de una competencia de desarrollo de malware organizada por el foro XSS, incluso cuando cepas existentes como Agente Tesla<\/a> y Poni<\/a> (tambi\u00e9n conocido como Fareit o Siplog) continu\u00f3 utiliz\u00e1ndose para el robo de informaci\u00f3n y su posterior venta en mercados de ladrones de registros como \u00e9xodo<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n