TimbreStealer Malware
2023 novembere óta a mexikói magánszemélyek adózási témájú adathalász programoknak vannak kitéve, amelyek célja egy TimbreStealer nevű, újonnan azonosított Windows rosszindulatú program terjesztése. A kampányt feltáró kutatók jártasnak minősítették az elkövetőket, és megjegyezték, hogy ezek a fenyegetés szereplői hasonló taktikákat, technikákat és eljárásokat (TTP) alkalmaztak 2023 szeptemberében a Mispadu nevű banki trójai program bevetésére.
Tartalomjegyzék
A kiberbűnözők a TimbreStealer segítségével mexikói felhasználókat céloznak meg
Amellett, hogy fejlett obfuszkációs módszereket használ az észlelés elkerülésére és a perzisztencia fenntartására, az adathalász kampány magában foglalja a geokerítést is, amely kifejezetten a mexikói felhasználókat célozza meg. Ha a hasznos oldalakat Mexikón kívülről érik el, a kampány egy ártalmatlannak tűnő üres PDF-fájlt ad vissza a rosszindulatú fájl helyett.
Figyelemre méltó az alkalmazott kijátszási taktika, amely magában foglalja az egyéni betöltők használatát és a közvetlen rendszerhívásokat a hagyományos API-figyelés megkerülésére. Ezenkívül a kampány a Heaven's Gate-t használja a 64 bites kód végrehajtására egy 32 bites folyamaton belül, ezt a technikát a HijackLoader is nemrégiben alkalmazta.
A TimbreStealer számos fenyegető képességgel van felszerelve
A rosszindulatú program különféle beágyazott modulokkal van felszerelve, amelyek a hangszerelést, a visszafejtést és a fő bináris védelmet szolgálják. Ezzel párhuzamosan több ellenőrzést is végez annak megállapítására, hogy homokozó környezetben működik-e, a rendszer nyelve nem orosz, és az időzóna egy latin-amerikai régióba esik-e.
Az Orchestrator modul további ellenőrzéseket végez a fájlok és a rendszerleíró kulcsok keresésével, hogy megbizonyosodjon arról, hogy a gépet korábban nem fertőzték meg. Ezt követően elindítja a rakomány telepítő komponensét, és egy jóindulatú csalifájlt ad a felhasználónak. Azonban a színfalak mögött ez a művelet elindítja a TimbreStealer elsődleges rakományának végrehajtását.
Az elsődleges hasznos adatot úgy alakították ki, hogy sokféle adatot gyűjtsön össze, beleértve a különböző mappákból származó hitelesítő adatokat, a rendszer metaadatait és az elért URL-eket. Aktívan keresi a meghatározott kiterjesztésű fájlokat, és ellenőrzi a távoli asztali szoftverek jelenlétét.
Az Infostealer rosszindulatú programjai jelentős következményekkel járhatnak az áldozatok számára
Az Infostealer rosszindulatú programjai komoly veszélyt jelentenek az áldozatokra, mivel kifejezetten a rendszerek rejtett beszivárgására és az érzékeny információk kiszivárgására készültek, ami jelentős következményekkel jár. Íme néhány módja annak, hogy az Infostealer rosszindulatú programjainak káros hatásai lehetnek:
Tehát az infostealer rosszindulatú programok alapvetően negatív következmények sorozatához vezethetnek, a pénzügyi veszteségektől és a magánélet megsértésétől a hírnév károsodásáig és jogi következményekig. Az egyéneknek és a szervezeteknek robusztus kiberbiztonsági intézkedéseket kell alkalmazniuk az Infostealer fenyegetésekkel kapcsolatos kockázatok megelőzésére, felfedésére és mérséklésére.