La seguridad informática se encuentra en constante alerta ante las innovadoras tácticas de ciberdelincuentes, especialmente durante épocas críticas como la temporada de declaraciones fiscales. Una de estas amenazas emergentes es TimbreStealer, un malware que se disemina mediante sofisticadas estafas de phishing con una temática centrada en lo fiscal. Este tipo de ataque está específicamente diseñado para captar la atención de los usuarios de TI, aprovechando su interés y responsabilidad en la gestión de datos sensibles.
Desde noviembre de 2023, usuarios en México han enfrentado ataques de phishing relacionados con temas fiscales para distribuir TimbreStealer, un malware para Windows no documentado anteriormente. Cisco Talos, quien descubrió estos ataques, calificó a los responsables como experimentados, señalando que este mismo grupo había utilizado tácticas y técnicas parecidas para esparcir el troyano bancario Mispadu en septiembre de 2023.
La campaña se distingue por el uso de técnicas de ofuscación avanzadas para evadir la detección y asegurar su permanencia en el sistema infectado. Una táctica notable es el uso de geocercas para filtrar a los usuarios por ubicación, entregando un inofensivo archivo PDF en blanco a aquellos fuera de México en lugar del archivo malicioso.
Entre las técnicas de evasión destacan el uso de cargadores personalizados y llamadas al sistema directas, eludiendo así el monitoreo API estándar, y la implementación de Heaven's Gate para ejecutar código de 64 bits en procesos de 32 bits, una estrategia también usada por el malware HijackLoader.
TimbreStealer incluye múltiples módulos para orquestar, descifrar y proteger el binario principal, realizando verificaciones para detectar entornos sandbox, comprobar el idioma del sistema y la zona horaria, enfocándose en la región de América Latina.
El módulo orquestador examina la presencia de archivos y claves de registro específicos para asegurar que la máquina no haya sido infectada previamente. Luego, procede a desplegar un componente que muestra un archivo señuelo mientras activa la carga útil principal de TimbreStealer.
Esta carga útil está diseñada para recabar un amplio espectro de datos, incluyendo credenciales almacenadas en diversas carpetas, metadatos del sistema, URLs visitadas, búsqueda de archivos con extensiones específicas y la detección de software de escritorio remoto.
Malware TimbreStealer
Conoce más sobre: 8 Señales para identificar un correo electrónico falso
Cisco Talos ha revelado conexiones entre una campaña de spam de Mispadu detectada en septiembre de 2023 y TimbreStealer, aunque este último afecta a una gama más amplia de industrias, especialmente en los sectores de manufactura y transporte.
Este anuncio surge paralelamente a la detección de una nueva versión de Atomic (también conocido como AMOS), un malware especializado en el robo de información de sistemas Apple macOS. Este malware es capaz de extraer contraseñas de cuentas de usuarios locales, credenciales almacenadas en Mozilla Firefox y navegadores basados en Chromium, así como datos de billeteras criptográficas e información de archivos relevantes, combinando de manera inusual código Python y Apple Script.
Un investigador de Bitdefender, comentó que la nueva variante de Atomic emplea un script de Python para mantenerse oculto. Además, destacó que la sección de Apple Script, diseñada para sustraer archivos confidenciales del dispositivo de la víctima, muestra una similitud notablemente alta con la puerta trasera RustDoor.
Este descubrimiento ocurre mientras emergen nuevas familias de malware dedicadas al robo de información, como XSSLite, introducido en una competencia de desarrollo de malware en el foro XSS. Paralelamente, variantes ya conocidas como Agent Tesla y Pony (también llamado Fareit o Siplog) siguen activas, enfocadas en el robo de información y su venta en plataformas especializadas como Exodus.
Te podrá interesar: Descubriendo la Nueva Variante del Malware Agent Tesla
TimbreStealer representa una amenaza significativa en el panorama de la ciberseguridad, particularmente durante la temporada de impuestos. Sin embargo, con la educación adecuada y las medidas de seguridad en su lugar, es posible mitigar el riesgo que este malware presenta. La concienciación sobre las tácticas de phishing, junto con la implementación de soluciones de seguridad robustas y la adopción de buenas prácticas de higiene informática, son esenciales para protegerse contra TimbreStealer y otras amenazas similares. En la lucha contra el cibercrimen, estar informado y preparado es más que la mitad de la batalla.