Ciberseguridad 360 | Malware TimbreStealer se propaga mediante phishing con temática fiscal

Los usuarios mexicanos han sido atacados con se�uelos de phishing con tem�tica fiscal al menos desde noviembre de 2023 para distribuir un malware de Windows previamente indocumentado llamado TimbreStealer.

Cisco Talos, que descubri� la actividad, describi� a los autores como h�biles y que el "actor de la amenaza ha utilizado previamente t�cticas, t�cnicas y procedimientos (TTPs) similares para distribuir un troyano bancario conocido como Mispadu en septiembre de 2023".

Adem�s de emplear sofisticadas t�cnicas de ofuscaci�n para eludir la detecci�n y asegurar la persistencia, la campa�a de phishing hace uso de geofencing para se�alar a los usuarios en M�xico, devolviendo un inocuo archivo PDF en blanco en lugar del malicioso si los sitios de carga �til son contactados desde otros lugares.

Algunas de las maniobras evasivas m�s notables incluyen el uso de payloads personalizados y llamadas directas al sistema para eludir el control convencional de la API, adem�s de utilizar Heaven's Gate para ejecutar c�digo de 64 bits dentro de un proceso de 32 bits, un enfoque que tambi�n fue adoptado recientemente por HijackLoader.

El malware viene con varios m�dulos integrados para la orquestaci�n, el descifrado y la protecci�n del binario principal, al tiempo que ejecuta una serie de comprobaciones para determinar si se est� ejecutando en un entorno sandbox, si el idioma del sistema no es el ruso y si la zona horaria se encuentra dentro de una regi�n latinoamericana.

El m�dulo orquestador tambi�n busca archivos y claves de registro para comprobar que la m�quina no ha sido infectada previamente, antes de lanzar un componente instalador de carga �til que muestra un archivo se�uelo benigno al usuario, ya que en �ltima instancia desencadena la ejecuci�n de la carga �til principal de TimbreStealer.

La carga �til est� dise�ada para recopilar una amplia gama de datos, incluyendo informaci�n sobre credenciales de diferentes carpetas, metadatos del sistema y las URL a las que se ha accedido, buscar archivos que coincidan con extensiones espec�ficas y verificar la presencia de software de escritorio remoto.

Cisco Talos dijo que identific� coincidencias con una campa�a de spam Mispadu observada en septiembre de 2023, aunque las industrias objetivo de TimbreStealer son variadas y con un enfoque en los sectores de fabricaci�n y transporte.

La revelaci�n se produce en medio de la aparici�n de una nueva versi�n de otro ladr�n de informaci�n llamado Atomic (tambi�n conocido como AMOS), que es capaz de recopilar datos de los sistemas macOS de Apple, como contrase�as de cuentas de usuario locales, credenciales de navegadores basados en Mozilla Firefox y Chromium, informaci�n de monederos de criptomonedas y archivos de inter�s, utilizando una combinaci�n inusual de c�digo Python y Apple Script.

"La nueva variante deja caer y utiliza un script de Python para permanecer encubierto", dijo el investigador de Bitdefender Andrei Lapusneanu, se�alando que el bloque de Apple Script para recoger archivos sensibles desde el ordenador de la v�ctima exhibe un "nivel significativamente alto de similitud" con el backdoor RustDoor.

Tambi�n sigue a la aparici�n de nuevas familias de malware de robo como XSSLite, que se lanz� como parte de un concurso de desarrollo de malware organizado por el foro XSS, incluso mientras cepas existentes como Agent Tesla y Pony (tambi�n conocido como Fareit o Siplog) segu�an utiliz�ndose para el robo de informaci�n y su posterior venta en mercados de registros de robo como Exodus.

Fuente: thehackernews