Usuários mexicanos têm sido alvo de iscas de phishing com temas fiscais pelo menos desde novembro de 2023 para distribuir um malware Windows anteriormente desconhecido chamado TimbreStealer.
A Cisco Talos, que descobriu a atividade, descreveu os autores como habilidosos e que o "ator de ameaça usou táticas, técnicas e procedimentos (TTPs) semelhantes antes, para distribuir um trojan bancário conhecido como Mispadu em setembro de 2023.
Além de usar técnicas sofisticadas de ofuscação para evitar a detecção e garantir a persistência, a campanha de phishing usa geofencing para selecionar usuários no México, retornando um arquivo PDF inócuo em branco em vez do malicioso se os sites de payloads forem contatados de outros locais.
Algumas das manobras evasivas notáveis incluem o uso de carregadores personalizados e chamadas diretas ao sistema para contornar a monitoração convencional da API, além de utilizar o Heaven's Gate para executar código de 64 bits dentro de um processo de 32 bits, uma abordagem que também foi recentemente adotada pelo HijackLoader.
O malware vem com vários módulos incorporados para orquestração, descriptografia e proteção do binário principal, enquanto também executa uma série de verificações para determinar se está operando em um ambiente sandbox, a linguagem do sistema não é russo e o fuso horário está dentro de uma região latino-americana.
O módulo orquestrador também procura arquivos e chaves de registro para checar em dobro se a máquina não foi previamente infectada, antes de lançar um componente instalador de payload que exibe um arquivo de isca benigno para o usuário, pois aciona a execução da payload principal do TimbreStealer.
A payload é projetada para coletar uma ampla gama de dados, incluindo informações de credenciais de diferentes pastas, metadados do sistema e URLs acessadas, procurar arquivos que correspondam a extensões específicas e verificar a presença de software de desktop remoto.
A Cisco Talos disse que identificou sobreposições com uma campanha de spam do Mispadu observada em setembro de 2023, embora as indústrias-alvo do TimbreStealer sejam variadas e com foco nos setores de manufatura e transporte.
A revelação surge com o surgimento de uma nova versão de outro ladrão de informações chamado Atomic (também conhecido como AMOS), que é capaz de coletar dados de sistemas Apple macOS, como senhas de contas de usuário local, credenciais dos navegadores Mozilla Firefox e baseados em Chromium, informações da carteira de criptografia e arquivos de interesse, usando uma combinação incomum de código Python e Apple Script.
"A nova variante descarta e usa um script Python para permanecer encoberto", disse o pesquisador da Bitdefender Andrei Lapusneanu, notando que o bloco de script Apple para coletar arquivos sensíveis do computador da vítima exibe um "nível significativamente alto de similaridade" com o backdoor RustDoor.
Isso também segue o surgimento de novas famílias de malwares stealer, como o XSSLite, que foi lançado como parte de uma competição de desenvolvimento de malwares organizada pelo fórum XSS, mesmo enquanto cepas existentes como Agent Tesla e Pony (também conhecido como Fareit ou Siplog) continuam sendo usados para roubo de informações e venda subsequente em mercados de logs de roubo, como o Exodus.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...