Esta campaña de malware emplea correos electrónicos de phishing con temas contables, dirigiendo a los usuarios a un sitio web comprometido. Según un reporte de Cisco Talos sobre robo de datos, TimbreStealer engaña al usuario para ejecutar una aplicación nociva.
Se trata de un ataque de spam dirigido a víctimas potenciales en México, que atrae a los usuarios para que descarguen un nuevo ladrón de datos. Que se denomina TimbreStealer, que ha estado activo desde noviembre de 2023, esto mediante documentos fiscales falsos.
Dicha campaña de phishing utiliza técnicas de cercado geográfico (geofencing) para dirigirse únicamente a usuarios de México. Ya que cualquier intento por contactar los sitios de carga útil desde otras ubicaciones, devuelve un archivo PDF en blanco, en lugar de dicho malware.
Además, se ha observado que el spam actual utiliza principalmente el estándar de comprobantes fiscales digitales (CFDI) de México. Ya que también, se han detectado correos electrónicos con temas de facturas genéricas utilizados para esta campaña de riesgo digital.
En este sentido, TimbreStealer exhibe una sofisticada gama de técnicas para eludir la detección y participar en una ejecución sigilosa. Con ello, se asegura la persistencia dentro de los sistemas comprometidos, con ello Cisco Talos busca prevenir sobre el robo de datos.
TimbreStealer usa requerimientos fiscales para robo de datos: Cisco Talos
La amenaza digital se aprovecha de las llamadas directas al sistema para eludir la supervisión convencional de la API. Es decir emplea la técnica Heaven’s Gate para ejecutar código de 64 bits, dentro de un proceso de 32 bits, a esto se agrega el uso de cargadores personalizados.
Estas características indican un alto nivel de sofisticación, esto sugiere que los autores son expertos y han desarrollado estos componentes internamente. Así, la actividad asociada con estas campañas de distribución actuales se detectó por primera vez en septiembre de 2023.
Cuando los ciberatacantes distribuían una variante del ladrón de información Mispadu, dicha campaña utilizaba sitios web comprometidos para distribuir un archivo Zip. El cual contenía un archivo tipo “.url” que utilizaba una ruta WebDAV para ejecutar un componente externo.
En este sentido el análisis de robo de datos de Cisco Talos, mostró que TimbreStealer estuvo activo desde mediados de noviembre. Entre los principales sectores afectados son diversos, sin embargo se destaca un ligero enfoque hacia la industria de manufactura y el transporte.
Para evitar estos incidentes, la firma recomienda emplear herramientas de protección de endpoint para prevenir la ejecución del malware. Además, de emplear dispositivos y correos web seguros que impiden el acceso a sitios maliciosos y detectan este tipo de riesgos.
