Από τον Νοέμβριο του 2023, οι χρήστες στο Μεξικό έχουν γίνει στόχος επιθέσεων phishing με θέμα τη φορολογία, που διανέμουν ένα Windows malware που ονομάζεται TimbreStealer.
Δείτε επίσης: Οι αρχές “χτύπησαν” την phishing υπηρεσία BulletProftLink
Το Cisco Talos, το οποίο ανακάλυψε τη δραστηριότητα, περιέγραψε τους δημιουργούς του ως επιδέξιους και ότι ο “δράστης απειλής έχει χρησιμοποιήσει προηγουμένως παρόμοιες τακτικές, τεχνικές και διαδικασίες (TTPs) για τη διανομή ενός banking trojan που είναι γνωστό ως Mispadu, τον Σεπτέμβριο του 2023.“
Εκτός από τη χρήση προηγμένων τεχνικών απόκρυψης για να αποφευχθεί η ανίχνευση και να διασφαλιστεί η μόνιμη ύπαρξη, η καμπάνια phishing που διανέμει το TimbreStealer malware χρησιμοποιεί την τεχνική του geofencing για να εντοπίσει τους χρήστες στο Μεξικό, επιστρέφοντας ένα κενό αρχείο PDF αντί του κακόβουλου, αν οι ιστότοποι πληρωμής ενεργοποιηθούν από άλλες τοποθεσίες.
Κάποιες από τις εντυπωσιακές τεχνικές αποφυγής περιλαμβάνουν την αξιοποίηση προσαρμοσμένων φορτωτών και απευθείας κλήσεων συστήματος για να παρακάμψουν την κανονική παρακολούθηση API, καθώς και τη χρήση του Heaven’s Gate για την εκτέλεση κώδικα 64-bit μέσα σε μία διεργασία 32-bit, μια προσέγγιση που υιοθετήθηκε πρόσφατα και από το HijackLoader.
Το κακόβουλο λογισμικό διαθέτει αρκετά ενσωματωμένα modules για ορχήστρωση, αποκρυπτογράφηση και προστασία του κύριου δυαδικού κώδικα, ενώ εκτελεί επίσης μια σειρά ελέγχων για να προσδιορίσει αν τρέχει σε περιβάλλον sandbox, η γλώσσα του συστήματος δεν είναι ρωσική και η ζώνη ώρας βρίσκεται εντός περιοχής της Λατινικής Αμερικής.
Το module αναζητά επίσης αρχεία και κλειδιά μητρώου για να ελέγξει διπλά ότι η συσκευή δεν έχει μολυνθεί προηγουμένως, πριν από την έναρξη του εγκαταστάτη που εμφανίζει ένα ανώνυμο αρχείο στο χρήστη, καθώς εν τέλει ενεργοποιεί την εκτέλεση του κύριου φορτίου του TimbreStealer malware.
Δείτε ακόμα: Αύξηση των phishing emails κατά 1265%: Ο ρόλος του ChatGPT
Το φορτίο σχεδιάστηκε για τη συλλογή ευρέος φάσματος δεδομένων, συμπεριλαμβανομένων πληροφοριών διαπιστευτηρίων από διαφορετικούς φακέλους, μεταδεδομένα συστήματος και τις διευθύνσεις URL, αρχεία που ταιριάζουν με συγκεκριμένες επεκτάσεις, ενώ επαληθεύει και την ύπαρξη λογισμικού απομακρυσμένης επιφάνειας εργασίας.
Η Cisco Talos ανέφερε ότι εντόπισε συναφείς πτυχές με μια καμπάνια ανεπιθύμητων μηνυμάτων Mispadu που παρατηρήθηκε τον Σεπτέμβριο του 2023, αν και οι βιομηχανίες στόχοι του TimbreStealer malware είναι ποικίλες και επικεντρώνονται στους τομείς της κατασκευής και των μεταφορών.
Η αποκάλυψη έρχεται στο πλαίσιο της εμφάνισης μιας νέας έκδοσης ενός άλλου κλέφτη πληροφοριών, που ονομάζεται Atomic (επίσης γνωστό ως AMOS), ο οποίος είναι ικανός να συλλέγει δεδομένα από συστήματα Apple macOS, όπως κωδικούς πρόσβασης των τοπικών λογαριασμών χρηστών, διαπιστευτήρια από τους περιηγητές Mozilla Firefox και Chromium, πληροφορίες πορτοφολιού κρυπτονομισμάτων και αρχεία, χρησιμοποιώντας μια ασυνήθιστη συνδυασμένη κωδικοποίηση Python και Apple Script.
Επιπλέον, ακολουθεί η εμφάνιση νέων οικογενειών κακόβουλου λογισμικού κλοπής, όπως το XSSLite, το οποίο κυκλοφόρησε ως μέρος διαγωνισμού ανάπτυξης κακόβουλου λογισμικού που διοργανώθηκε από το φόρουμ XSS, ενώ υπάρχουσεις παραλλαγές όπως το Agent Tesla και το Pony (επίσης γνωστό ως Fareit ή Siplog) συνεχίζονταν να χρησιμοποιούνται για πώληση στις αγορές καταγραφής κλεπτών, όπως το Exodus.
Δείτε επίσης: Phishing καμπάνια στοχεύει Microsoft Azure accounts
Πώς μπορεί κάποιος να αναγνωρίσει ένα phishing email ή ιστότοπο;
Ένας από τους πιο εύκολους τρόπους για να αναγνωρίσετε ένα phishing email, όπως αυτό που διαδίδει το TimbreStealer malware, είναι να ελέγξετε τη διεύθυνση email ή το URL. Συχνά, οι διευθύνσεις αυτές θα περιέχουν λάθη ή θα είναι παραπλανητικές, προσπαθώντας να μιμηθούν μια γνήσια διεύθυνση. Επίσης, τα phishing emails συχνά περιέχουν ορθογραφικά λάθη, γραμματικά λάθη ή ασυνήθιστη χρήση της γλώσσας. Τα phishing emails και οι ιστότοποι συχνά προσπαθούν να δημιουργήσουν ένα αίσθημα επείγοντος. Μπορεί να σας ζητηθεί να αντιδράσετε άμεσα σε μια προσφορά ή να ενημερώσετε τα στοιχεία του λογαριασμού σας για να αποφύγετε την απώλεια της υπηρεσίας. Τέλος, ένας άλλος τρόπος για να αναγνωρίσετε ένα phishing email ή ιστότοπο είναι να ελέγξετε την ποιότητα των εικόνων και των γραφικών.
Πηγή: thehackernews
