بدافزار TimbreStealer

از نوامبر 2023، افراد در مکزیک تحت طرح‌های فیشینگ با مضمون مالیاتی قرار گرفته‌اند که هدف آن انتشار یک بدافزار ویندوزی جدید به نام TimbreStealer است. محققانی که این کمپین را کشف کردند، مجرمان را ماهر توصیف کردند و خاطرنشان کردند که این عوامل تهدید از تاکتیک‌ها، تکنیک‌ها و رویه‌های مشابه (TTP) در سپتامبر 2023 برای استقرار یک تروجان بانکی به نام Mispadu استفاده کرده بودند.

مجرمان سایبری کاربران را در مکزیک با TimbreStealer هدف قرار می دهند

علاوه بر استفاده از روش‌های مبهم‌سازی پیشرفته برای فرار از شناسایی و حفظ پایداری، کمپین فیشینگ از geofencing برای هدف قرار دادن کاربران در مکزیک به طور خاص استفاده می‌کند. هنگامی که به سایت های بارگیری از مکان های خارج از مکزیک دسترسی پیدا می شود، کمپین به جای فایل مخرب، یک فایل PDF خالی به ظاهر بی ضرر را برمی گرداند.

تاکتیک‌های فرار به کار گرفته شده قابل توجه است، که شامل استفاده از بارگذارهای سفارشی و تماس‌های مستقیم سیستم برای دور زدن نظارت API معمولی است. علاوه بر این، این کمپین از Heaven's Gate برای اجرای کدهای 64 بیتی در یک فرآیند 32 بیتی استفاده می کند، تکنیکی که اخیرا توسط HijackLoader نیز به کار گرفته شده است.

TimbreStealer به مجموعه متنوعی از قابلیت های تهدیدآمیز مجهز شده است

این بدافزار مجهز به ماژول‌های تعبیه‌شده مختلفی است که به هماهنگ‌سازی، رمزگشایی و محافظت از باینری اصلی اختصاص داده شده‌اند. به طور همزمان، چندین بررسی انجام می دهد تا مطمئن شود که آیا در یک محیط sandbox عمل می کند، آیا زبان سیستم روسی نیست، و آیا منطقه زمانی در منطقه آمریکای لاتین قرار دارد یا خیر.

ماژول ارکستراتور بازرسی های بیشتری را با جستجوی فایل ها و کلیدهای رجیستری انجام می دهد تا تأیید کند که دستگاه قبلاً آلوده نشده است. به دنبال آن، مؤلفه نصب کننده payload را راه اندازی می کند و یک فایل فریبنده خوش خیم را به کاربر ارائه می دهد. با این حال، در پشت صحنه، این عمل باعث اجرای محموله اصلی TimbreStealer می شود.

محموله اولیه برای جمع‌آوری طیف وسیعی از داده‌ها، شامل اطلاعات اعتبار از پوشه‌های مختلف، ابرداده‌های سیستم و URLهای قابل دسترسی ساخته شده است. به طور فعال فایل‌هایی با پسوندهای خاص را جستجو می‌کند و وجود نرم‌افزار دسک‌تاپ از راه دور را تأیید می‌کند.

بدافزار Infostealer می تواند عواقب قابل توجهی برای قربانیان داشته باشد

بدافزار Infostealer یک تهدید جدی برای قربانیان است زیرا به طور خاص برای نفوذ مخفیانه به سیستم ها و استخراج اطلاعات حساس طراحی شده است که منجر به عواقب قابل توجهی می شود. در اینجا چند راه وجود دارد که بدافزار Infostealer می تواند اثرات مضری داشته باشد:

• سرقت داده ها : هدف اصلی بدافزار Infostealer جمع آوری اطلاعات حساس مانند اعتبارنامه ورود، داده های شخصی، جزئیات مالی و مالکیت معنوی است. هنگامی که این اطلاعات به خطر بیفتد، می توان از آن برای فعالیت های مخرب مختلف، از جمله سرقت هویت، کلاهبرداری مالی یا دسترسی غیرمجاز به حساب ها استفاده کرد.

• ضرر مالی : بدافزار Infostealer اغلب اطلاعات مالی را هدف قرار می دهد که می تواند منجر به زیان مالی مستقیم برای افراد و سازمان ها شود. مجرمان سایبری ممکن است از اعتبار بانکی جمع آوری شده برای شروع تراکنش های بدون مجوز یا دسترسی به حساب های مالی استفاده کنند.

• تجاوز به حریم خصوصی : سرقت اطلاعات شخصی و محرمانه از طریق بدافزار Infostealer می تواند منجر به تجاوز عمیق به حریم خصوصی شود. قربانیان ممکن است با نقض اعتماد مواجه شوند و در بازگرداندن هویت آنلاین خود با چالش هایی روبرو شوند.

• اختلال در کسب و کار : در مورد سازمان ها، بدافزار Infostealer می تواند منجر به اختلال در تجارت شود. از دست دادن داده‌های حساس تجاری یا اسرار تجاری می‌تواند به مزیت رقابتی شرکت آسیب برساند و دسترسی غیرمجاز به سیستم‌های حیاتی ممکن است منجر به خرابی عملیات شود.

• آسیب به شهرت : افشای اطلاعات حساس، به ویژه اگر شامل داده های مشتری یا کارمند باشد، می تواند به شدت به اعتبار یک فرد یا سازمان آسیب برساند. اعتماد و اعتبار ممکن است از بین برود و بازسازی اعتماد به زمان و تلاش زیادی نیاز دارد.

• سازش گسترده : بدافزار Infostealer اغلب بخشی از یک حمله سایبری گسترده‌تر است. هنگامی که نقض اولیه رخ می دهد، مهاجمان ممکن است ابزارهای مخرب اضافی را نصب کنند، دسترسی دائمی ایجاد کنند و به سوء استفاده از سیستم در معرض خطر برای مدت طولانی ادامه دهند.

بنابراین، اساساً، بدافزار اطلاعات سرقت می‌تواند منجر به مجموعه‌ای از پیامدهای منفی، از خسارات مالی و تجاوز به حریم خصوصی گرفته تا آسیب‌های اعتباری و عواقب قانونی شود. افراد و سازمان‌ها باید از اقدامات امنیتی سایبری قوی برای جلوگیری، افشای و کاهش خطرات مرتبط با تهدیدات Infostealer استفاده کنند.