TimbreStealer se propaga a través de una estafa de phishing con temática fiscal

Los usuarios mexicanos han sido objeto de señuelos de phishing con temática fiscal al menos desde noviembre de 2023 para distribuir un malware de Windows previamente indocumentado llamado TimbreStealer.

Cisco Talos, que descubrió la actividad, describió a los autores como hábiles y que el "actor de amenazas ha utilizado previamente tácticas, técnicas y procedimientos (TTP) similares para distribuir un troyano bancario conocido como Mispadu en septiembre de 2023.

Además de emplear sofisticadas técnicas de ofuscación para eludir la detección y garantizar la persistencia, la campaña de phishing hace uso de geofencing para identificar a los usuarios en México, devolviendo un archivo PDF en blanco inocuo en lugar del malicioso si los sitios de carga útil son contactados desde otras ubicaciones.

Algunas de las maniobras evasivas notables incluyen el aprovechamiento de cargadores personalizados y llamadas directas al sistema para eludir el monitoreo convencional de API, además de utilizar Heaven's Gate para ejecutar código de 64 bits dentro de un proceso de 32 bits, un enfoque que también fue adoptado recientemente por HijackLoader.

El malware viene con varios módulos integrados para la orquestación, el descifrado y la protección del binario principal, al tiempo que ejecuta una serie de comprobaciones para determinar si se está ejecutando un entorno sandbox, si el idioma del sistema no es ruso y si la zona horaria está dentro de una región de América Latina.

El módulo orquestador también busca archivos y claves de registro para verificar que la máquina no haya sido infectada previamente, antes de iniciar un componente de instalación de carga útil que muestra un archivo señuelo benigno al usuario, ya que en última instancia desencadena la ejecución de la carga útil principal de TimbreStealer.

La carga útil está diseñada para recopilar una amplia gama de datos, incluida la información de credenciales de diferentes carpetas, los metadatos del sistema y las URL a las que se accede, buscar archivos que coincidan con extensiones específicas y verificar la presencia de software de escritorio remoto.


Cisco Talos dijo que identificó superposiciones con una campaña de spam de Mispadu observada en septiembre de 2023, aunque las industrias objetivo de TimbreStealer son variadas y con un enfoque en los sectores de fabricación y transporte.

La revelación se produce en medio de la aparición de una nueva versión de otro ladrón de información llamado Atomic (también conocido como AMOS), que es capaz de recopilar datos de los sistemas macOS de Apple, como contraseñas de cuentas de usuario locales, credenciales de Mozilla Firefox y navegadores basados en Chromium, información de billeteras criptográficas y archivos de interés, utilizando una combinación inusual de código Python y Apple Script.

"La nueva variante cae y usa un script de Python para mantenerse encubierto", dijo el investigador de Bitdefender Andrei Lapusneanu, señalando que el bloque Apple Script para recopilar archivos confidenciales de la computadora de la víctima exhibe un "nivel significativamente alto de similitud" con la puerta trasera RustDoor.


También sigue la aparición de nuevas familias de malware ladrón como XSSLite, que se lanzó como parte de una competencia de desarrollo de malware organizada por el foro XSS, incluso cuando las cepas existentes como Agent Tesla y Pony (también conocidas como Fareit o Siplog) continuaron utilizándose para el robo de información y la posterior venta en mercados de registros de ladrones como Exodus.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta