Meksikalı kullanıcılar, en azından Kasım 2023’ten bu yana, daha önce belgelenmemiş bir Windows kötü amaçlı yazılımını dağıtmak için vergi temalı kimlik avı tuzaklarıyla hedefleniyor. TimbreStealer.
Etkinliği keşfeden Cisco Talos, yazarların yetenekli olduğunu ve “tehdit aktörünün Eylül 2023’te Mispadu olarak bilinen bir bankacılık truva atını dağıtmak için daha önce benzer taktikler, teknikler ve prosedürler (TTP’ler) kullandığını” belirtti.
Kimlik avı kampanyası, algılamayı atlatmak ve kalıcılığı sağlamak için karmaşık gizleme teknikleri kullanmanın yanı sıra, Meksika’daki kullanıcıları ayırmak için coğrafi sınırlamadan yararlanıyor ve yük siteleriyle başka konumlardan bağlantı kurulursa kötü amaçlı dosya yerine zararsız, boş bir PDF dosyası döndürüyor.
Dikkate değer kaçınma manevralarından bazıları, geleneksel API izlemeyi atlamak için özel yükleyicilerden yararlanma ve doğrudan sistem çağrılarını kullanmanın yanı sıra, yakın zamanda HijackLoader tarafından da benimsenen bir yaklaşım olan 32 bitlik bir işlem içinde 64 bitlik kodu yürütmek için Heaven’s Gate’i kullanmadır.
Kötü amaçlı yazılım, ana ikili dosyanın düzenlenmesi, şifresinin çözülmesi ve korunması için çeşitli yerleşik modüllerle birlikte gelir; aynı zamanda bir sanal alan ortamı çalıştırıp çalıştırmadığını, sistem dilinin Rusça olup olmadığını ve saat diliminin Latin Amerika dahilinde olup olmadığını belirlemek için bir dizi kontrol gerçekleştirir. bölge.
Orchestrator modülü aynı zamanda, TimbreStealer’ın birincil yükünün yürütülmesini tetikleyeceği için kullanıcıya zararsız bir tuzak dosyası görüntüleyen bir yük yükleyici bileşenini başlatmadan önce, makineye daha önce virüs bulaşmadığını iki kez kontrol etmek için dosyaları ve kayıt defteri anahtarlarını da arar. .
Yük, farklı klasörlerdeki kimlik bilgileri, sistem meta verileri ve erişilen URL’ler de dahil olmak üzere çok çeşitli verileri toplamak, belirli uzantılarla eşleşen dosyaları aramak ve uzak masaüstü yazılımının varlığını doğrulamak için tasarlanmıştır.
Cisco Talos, TimbreStealer’ın hedef sektörlerinin çeşitlilik göstermesine ve üretim ve taşımacılık sektörlerine odaklanmasına rağmen, Eylül 2023’te gözlemlenen Mispadu spam kampanyasıyla örtüşmeler tespit ettiğini söyledi.
Açıklama, Apple macOS sistemlerinden yerel kullanıcı hesabı şifreleri, Mozilla Firefox ve Chromium tabanlı tarayıcıların kimlik bilgileri, kripto cüzdanı gibi verileri toplayabilen Atomic (diğer adıyla AMOS) adlı başka bir bilgi hırsızının yeni bir sürümünün ortaya çıktığı dönemde geldi. Python ve Apple Script kodunun alışılmadık bir kombinasyonunu kullanarak bilgileri ve ilgilenilen dosyaları.
Bitdefender araştırmacısı Andrei Lapusneanu, “Yeni varyant düşüyor ve gizli kalmak için bir Python komut dosyası kullanıyor” dedi ve kurbanın bilgisayarından hassas dosyaları toplamak için kullanılan Apple Komut Dosyası bloğunun, RustDoor arka kapısıyla “önemli ölçüde yüksek düzeyde benzerlik” gösterdiğine dikkat çekti.
Bu aynı zamanda, Ajan Tesla ve Pony (diğer adıyla Fareit veya Siplog) gibi mevcut türler bu amaçla kullanılmaya devam ederken, XSS forumu tarafından düzenlenen kötü amaçlı yazılım geliştirme yarışmasının bir parçası olarak piyasaya sürülen XSSLite gibi yeni hırsız kötü amaçlı yazılım ailelerinin ortaya çıkmasının da ardından geliyor. bilgi hırsızlığı ve ardından Exodus gibi hırsız günlükleri pazaryerlerinde satış.