Мексиканские пользователи подвергались фишинговым приманкам на налоговую тематику как минимум с ноября 2023 года для распространения ранее недокументированного вредоносного ПО для Windows под названием TimbreStealer.
Cisco Talos, которая обнаружила эту активность, описала авторов как опытных и что "субъект угрозы ранее использовал аналогичные тактики, приемы и процедуры (TTP) для распространения банковского трояна, известного как Mispadu, в сентябре 2023 года.
Помимо использования сложных методов обфускации, позволяющих избежать обнаружения и обеспечить сохраняемость, фишинговая кампания использует геозонирование для выделения пользователей в Мексике, возвращая безобидный пустой PDF-файл вместо вредоносного, если контакты с сайтами полезной нагрузки осуществляются из других мест.
Некоторые из заметных маневров уклонения включают использование пользовательских загрузчиков и прямые системные вызовы для обхода обычного мониторинга API, в дополнение к использованию Heaven's Gate для выполнения 64-разрядного кода в рамках 32-разрядного процесса, подход, который также недавно был принят HijackLoader.
Вредоносное ПО поставляется с несколькими встроенными модулями для управления, дешифрования и защиты основного двоичного файла, а также выполняет серию проверок, чтобы определить, работает ли оно в изолированной среде, язык системы не русский, а часовой пояс находится в регионе Латинской Америки.
Модуль orchestrator также ищет файлы и разделы реестра, чтобы дважды проверить, не был ли компьютер ранее заражен, перед запуском компонента установки полезной нагрузки, который отображает пользователю безвредный файл-приманку, поскольку в конечном итоге запускает выполнение основной полезной нагрузки TimbreStealer.
Полезная нагрузка предназначена для сбора широкого спектра данных, включая учетные данные из различных папок, системные метаданные и доступные URL-адреса, поиска файлов с определенными расширениями и проверки наличия программного обеспечения для удаленного рабочего стола.
Cisco Talos заявила, что выявила совпадения со спам-кампанией Mispadu, наблюдавшейся в сентябре 2023 года, хотя целевые отрасли TimbreStealer разнообразны и сосредоточены на производственном и транспортном секторах.
Раскрытие происходит на фоне появления новой версии другого похитителя информации под названием Atomic (он же AMOS), который способен собирать данные из систем Apple macOS, такие как пароли локальных учетных записей пользователей, учетные данные браузеров на базе Mozilla Firefox и Chromium, информацию о криптовалютном кошельке и представляющие интерес файлы, используя необычную комбинацию Python и кода Apple Script.
"Новый вариант удаляет и использует скрипт Python, чтобы оставаться скрытым", - сказал исследователь Bitdefender Андрей Лапушняну, отметив, что блок Apple Script для сбора конфиденциальных файлов с компьютера жертвы демонстрирует "значительно высокий уровень сходства" с бэкдором RustDoor.
Это также следует за появлением новых семейств вредоносных программ stealer, таких как XSSLite, который был выпущен в рамках конкурса разработчиков вредоносных программ, организованного XSS forum, даже несмотря на то, что существующие штаммы, такие как Agent Tesla и Pony (он же Fareit или Siplog), продолжали использоваться для кражи информации и последующей продажи на торговых площадках stealer logs, таких как Exodus.
Cisco Talos, которая обнаружила эту активность, описала авторов как опытных и что "субъект угрозы ранее использовал аналогичные тактики, приемы и процедуры (TTP) для распространения банковского трояна, известного как Mispadu, в сентябре 2023 года.
Помимо использования сложных методов обфускации, позволяющих избежать обнаружения и обеспечить сохраняемость, фишинговая кампания использует геозонирование для выделения пользователей в Мексике, возвращая безобидный пустой PDF-файл вместо вредоносного, если контакты с сайтами полезной нагрузки осуществляются из других мест.
Некоторые из заметных маневров уклонения включают использование пользовательских загрузчиков и прямые системные вызовы для обхода обычного мониторинга API, в дополнение к использованию Heaven's Gate для выполнения 64-разрядного кода в рамках 32-разрядного процесса, подход, который также недавно был принят HijackLoader.
Вредоносное ПО поставляется с несколькими встроенными модулями для управления, дешифрования и защиты основного двоичного файла, а также выполняет серию проверок, чтобы определить, работает ли оно в изолированной среде, язык системы не русский, а часовой пояс находится в регионе Латинской Америки.
Модуль orchestrator также ищет файлы и разделы реестра, чтобы дважды проверить, не был ли компьютер ранее заражен, перед запуском компонента установки полезной нагрузки, который отображает пользователю безвредный файл-приманку, поскольку в конечном итоге запускает выполнение основной полезной нагрузки TimbreStealer.
Полезная нагрузка предназначена для сбора широкого спектра данных, включая учетные данные из различных папок, системные метаданные и доступные URL-адреса, поиска файлов с определенными расширениями и проверки наличия программного обеспечения для удаленного рабочего стола.
Cisco Talos заявила, что выявила совпадения со спам-кампанией Mispadu, наблюдавшейся в сентябре 2023 года, хотя целевые отрасли TimbreStealer разнообразны и сосредоточены на производственном и транспортном секторах.
Раскрытие происходит на фоне появления новой версии другого похитителя информации под названием Atomic (он же AMOS), который способен собирать данные из систем Apple macOS, такие как пароли локальных учетных записей пользователей, учетные данные браузеров на базе Mozilla Firefox и Chromium, информацию о криптовалютном кошельке и представляющие интерес файлы, используя необычную комбинацию Python и кода Apple Script.
"Новый вариант удаляет и использует скрипт Python, чтобы оставаться скрытым", - сказал исследователь Bitdefender Андрей Лапушняну, отметив, что блок Apple Script для сбора конфиденциальных файлов с компьютера жертвы демонстрирует "значительно высокий уровень сходства" с бэкдором RustDoor.
Это также следует за появлением новых семейств вредоносных программ stealer, таких как XSSLite, который был выпущен в рамках конкурса разработчиков вредоносных программ, организованного XSS forum, даже несмотря на то, что существующие штаммы, такие как Agent Tesla и Pony (он же Fareit или Siplog), продолжали использоваться для кражи информации и последующей продажи на торговых площадках stealer logs, таких как Exodus.
