TimbreStealer 악성코드

2023년 11월부터 멕시코의 개인들은 TimbreStealer라는 새로 확인된 Windows 악성 코드를 유포하려는 목적으로 세금을 주제로 한 피싱 사기를 당했습니다. 이 캠페인을 발굴한 연구원들은 공격자들이 2023년 9월에 유사한 전술, 기술 및 절차(TTP)를 사용하여 Mispadu 라는 은행 트로이 목마를 배포했다는 점을 지적하면서 가해자들을 능숙한 것으로 분류했습니다.

사이버범죄자들은 TimbreStealer를 이용해 멕시코 사용자를 표적으로 삼고 있습니다.

피싱 캠페인은 탐지를 회피하고 지속성을 유지하기 위해 고급 난독화 방법을 활용하는 것 외에도 특히 멕시코의 사용자를 대상으로 지오펜싱을 통합합니다. 멕시코 이외의 위치에서 페이로드 사이트에 액세스하면 캠페인은 악성 파일 대신 겉으로는 무해해 보이는 빈 PDF 파일을 반환합니다.

기존 API 모니터링을 우회하기 위해 사용자 지정 로더와 직접 시스템 호출을 사용하는 등 사용된 회피 전술은 주목할 만합니다. 또한 이 캠페인은 최근 HijackLoader 에서도 채택한 기술인 Heaven's Gate를 활용하여 32비트 프로세스 내에서 64비트 코드를 실행합니다.

TimbreStealer는 다양한 위협 기능을 갖추고 있습니다.

이 악성코드에는 오케스트레이션, 암호 해독 및 메인 바이너리 보호를 전담하는 다양한 내장 모듈이 탑재되어 있습니다. 동시에 샌드박스 환경에서 작동하는지, 시스템 언어가 러시아어가 아닌지, 시간대가 라틴 아메리카 지역에 속하는지 여부를 확인하기 위해 여러 가지 검사를 수행합니다.

오케스트레이터 모듈은 파일과 레지스트리 키를 검색하여 추가 검사를 수행하여 시스템이 이전에 감염되지 않았는지 확인합니다. 그런 다음 페이로드 설치 프로그램 구성 요소를 시작하여 사용자에게 무해한 미끼 파일을 제공합니다. 그러나 뒤에서는 이 작업이 TimbreStealer의 기본 페이로드 실행을 트리거합니다.

기본 페이로드는 다양한 폴더, 시스템 메타데이터 및 액세스된 URL의 자격 증명 정보를 포함하여 광범위한 데이터를 수집하도록 제작되었습니다. 특정 확장자를 가진 파일을 적극적으로 찾고 원격 데스크톱 소프트웨어가 있는지 확인합니다.

Infostealer 악성 코드는 피해자에게 심각한 영향을 미칠 수 있습니다.

Infostealer 악성 코드는 은밀하게 시스템에 침투하고 민감한 정보를 빼내도록 특별히 설계되어 심각한 영향을 미치므로 피해자에게 심각한 위협이 됩니다. Infostealer 악성 코드가 해로운 영향을 미칠 수 있는 몇 가지 방법은 다음과 같습니다.

• 데이터 도난 : Infostealer 악성 코드의 주요 목적은 로그인 자격 증명, 개인 데이터, 금융 세부 정보, 지적 재산과 같은 민감한 정보를 수집하는 것입니다. 이 정보가 손상되면 신원 도용, 금융 사기 또는 계정에 대한 무단 액세스를 포함한 다양한 악의적인 활동에 사용될 수 있습니다.

• 재정적 손실 : Infostealer 악성 코드는 종종 금융 정보를 표적으로 삼아 개인과 조직에 직접적인 금전적 손실을 초래할 수 있습니다. 사이버 범죄자는 수집된 은행 자격 증명을 사용하여 무단 거래를 시작하거나 금융 계좌에 접근할 수 있습니다.

• 개인 정보 침해 : Infostealer 악성 코드를 통한 개인 정보 및 기밀 정보 도난은 심각한 개인 정보 침해로 이어질 수 있습니다. 피해자는 신뢰 위반을 경험하고 온라인 신원을 복원하는 데 어려움을 겪을 수 있습니다.

• 비즈니스 중단 : 조직의 경우 Infostealer 악성 코드가 비즈니스 중단을 초래할 수 있습니다. 민감한 비즈니스 데이터 또는 영업 비밀의 손실은 회사의 경쟁 우위에 해를 끼칠 수 있으며 중요한 시스템에 대한 무단 액세스는 운영 중단 시간으로 이어질 수 있습니다.

• 평판 손상 : 특히 고객이나 직원 데이터와 관련된 민감한 정보가 노출되면 개인이나 조직의 평판이 심각하게 손상될 수 있습니다. 신뢰와 신용은 침식될 수 있으며, 신뢰를 회복하는 데는 상당한 시간과 노력이 필요할 수 있습니다.

• 확장된 침해 : Infostealer 악성 코드는 종종 광범위한 사이버 공격의 일부입니다. 초기 침해가 발생하면 공격자는 추가 악성 도구를 설치하고 지속적인 액세스를 설정하며 손상된 시스템을 장기간에 걸쳐 계속 악용할 수 있습니다.

따라서 기본적으로 Infostealer 악성 코드는 금전적 손실과 개인 정보 침해부터 평판 손상 및 법적 영향에 이르기까지 일련의 부정적인 결과를 초래할 수 있습니다. 개인과 조직은 Infostealer 위협과 관련된 위험을 예방, 공개 및 완화하기 위해 강력한 사이버 보안 조치를 취해야 합니다.