Škodlivý softvér TimbreStealer

Od novembra 2023 sú jednotlivci v Mexiku vystavení phishingovým schémam s daňovou tematikou, ktorých cieľom je šíriť novo identifikovaný malvér Windows s názvom TimbreStealer. Výskumníci, ktorí odhalili túto kampaň, charakterizovali páchateľov ako zdatných, pričom poznamenali, že títo aktéri hrozieb použili v septembri 2023 analogické taktiky, techniky a postupy (TTP) na nasadenie bankového trójskeho koňa menom Mispadu .

Kyberzločinci sa pomocou TimbreStealer zameriavajú na používateľov v Mexiku

Okrem využitia pokročilých metód zahmlievania na obídenie detekcie a udržanie perzistencie zahŕňa phishingová kampaň aj geofencing, ktorý sa zameriava konkrétne na používateľov v Mexiku. Keď sa na stránky užitočného zaťaženia pristupuje z miest mimo Mexika, kampaň namiesto škodlivého súboru vráti zdanlivo neškodný prázdny súbor PDF.

Za zmienku stojí použitá taktika úniku, ktorá zahŕňa použitie vlastných zavádzačov a priame systémové volania na obídenie konvenčného monitorovania API. Okrem toho kampaň využíva Heaven's Gate na spustenie 64-bitového kódu v rámci 32-bitového procesu, čo je technika, ktorú nedávno prijal aj HijackLoader .

TimbreStealer je vybavený rozmanitou sadou hrozivých schopností

Malvér je vybavený rôznymi vstavanými modulmi určenými na orchestráciu, dešifrovanie a ochranu hlavného binárneho súboru. Súčasne vykonáva niekoľko kontrol, aby zistil, či funguje v prostredí sandbox, či systémový jazyk nie je ruský a či časové pásmo spadá do regiónu Latinskej Ameriky.

Modul orchestrátora vykonáva dodatočné kontroly vyhľadávaním súborov a kľúčov databázy Registry, aby sa potvrdilo, že počítač nebol predtým infikovaný. Potom spustí komponent inštalačného programu užitočného zaťaženia a používateľovi ponúkne neškodný súbor návnady. V zákulisí však táto akcia spúšťa spustenie primárneho nákladu TimbreStealer.

Primárne užitočné zaťaženie je vytvorené tak, aby zhromažďovalo širokú škálu údajov, ktoré zahŕňajú informácie o povereniach z rôznych priečinkov, systémové metadáta a prístupné adresy URL. Aktívne vyhľadáva súbory so špecifickými príponami a overuje prítomnosť softvéru vzdialenej pracovnej plochy.

Malvér Infostealer môže mať pre obete značné následky

Malvér Infostealer predstavuje vážnu hrozbu pre obete, pretože je špeciálne navrhnutý na skrytú infiltráciu systémov a exfiltráciu citlivých informácií, čo vedie k značným následkom. Tu je niekoľko spôsobov, ako môže mať malware Infostealer škodlivé účinky:

• Krádež údajov : Primárnym účelom malvéru Infostealer je zhromažďovať citlivé informácie, ako sú prihlasovacie údaje, osobné údaje, finančné údaje a duševné vlastníctvo. Akonáhle sú tieto informácie kompromitované, môžu byť použité na rôzne škodlivé aktivity, vrátane krádeže identity, finančných podvodov alebo neoprávneného prístupu k účtom.

• Finančné straty : Škodlivý softvér Infostealer sa často zameriava na finančné informácie, čo môže viesť k priamym finančným stratám pre jednotlivcov a organizácie. Kyberzločinci môžu použiť zhromaždené bankové prihlasovacie údaje na iniciovanie nelicencovaných transakcií alebo na získanie prístupu k finančným účtom.

• Narušenie súkromia : Krádež osobných a dôverných informácií prostredníctvom škodlivého softvéru Infostealer môže viesť k vážnemu narušeniu súkromia. Obete môžu zažiť porušenie dôvery a čeliť problémom pri obnove svojej online identity.

• Narušenie podnikania : V prípade organizácií môže malvér Infostealer viesť k narušeniu podnikania. Strata citlivých obchodných údajov alebo obchodných tajomstiev môže poškodiť konkurenčnú výhodu spoločnosti a neoprávnený prístup ku kritickým systémom môže viesť k výpadkom prevádzky.

• Poškodenie dobrej povesti : Odhalenie citlivých informácií, najmä ak sa týkajú údajov zákazníkov alebo zamestnancov, môže vážne poškodiť povesť jednotlivca alebo organizácie. Dôvera a dôveryhodnosť môžu byť narušené a obnovenie dôvery si môže vyžadovať veľa času a úsilia.

• Rozšírený kompromis : Malvér Infostealer je často súčasťou širšieho kybernetického útoku. Akonáhle dôjde k počiatočnému narušeniu, útočníci môžu nainštalovať ďalšie škodlivé nástroje, vytvoriť trvalý prístup a pokračovať vo využívaní napadnutého systému počas dlhšieho obdobia.

Malvér infostealer teda v podstate môže viesť ku kaskáde negatívnych dôsledkov, od finančných strát a narušenia súkromia až po poškodenie dobrého mena a právne následky. Jednotlivci a organizácie musia používať robustné opatrenia kybernetickej bezpečnosti, aby zabránili, zverejnili a zmiernili riziká spojené s hrozbami Infostealer.