Dal novembre 2023, gli utenti messicani sono stati bersagliati da truffe phishing incentrate su temi fiscali per distribuire un nuovo malware per Windows, chiamato TimbreStealer. Secondo Cisco Talos, che ha scoperto l’attività, gli autori di questa campagna sono esperti e hanno già utilizzato tattiche, tecniche e procedure simili per distribuire un trojan bancario noto come Mispadu nel settembre 2023.
La campagna phishing si avvale di tecniche di offuscamento sofisticate per eludere il rilevamento e garantire la persistenza, oltre a utilizzare il geofencing per colpire specificamente gli utenti in Messico, restituendo un file PDF vuoto e innocuo se i siti dei payload vengono contattati da altre località.
Tra le manovre evasive notevoli, ci sono l’uso di loader personalizzati e chiamate di sistema dirette per bypassare il monitoraggio API convenzionale, oltre all’impiego di Heaven’s Gate per eseguire codice a 64 bit all’interno di un processo a 32 bit, un approccio adottato anche recentemente da HijackLoader.
Il malware include diversi moduli incorporati per l’orchestrazione, la decrittazione e la protezione del binario principale, eseguendo una serie di controlli per determinare se è in esecuzione in un ambiente sandbox, se la lingua del sistema non è il russo e se il fuso orario è in una regione dell’America Latina.
Il modulo orchestratore verifica anche la presenza di file e chiavi di registro per accertarsi che la macchina non sia stata precedentemente infettata, prima di avviare un componente dell’installer del payload che mostra un file esca benigno all’utente, scatenando infine l’esecuzione del payload principale di TimbreStealer.
Il payload è progettato per raccogliere un’ampia gamma di dati, tra cui informazioni di accesso da diverse cartelle, metadati di sistema, URL visitati, ricerca di file con estensioni specifiche e verifica della presenza di software di desktop remoto.
Cisco Talos ha identificato somiglianze con una campagna spam di Mispadu osservata nel settembre 2023, sebbene le industrie bersaglio di TimbreStealer siano varie, con un focus sui settori manifatturiero e dei trasporti.
Questa rivelazione si inserisce nel contesto dell’emergenza di una nuova versione di un altro stealer di informazioni chiamato Atomic (noto anche come AMOS), in grado di raccogliere dati dai sistemi Apple macOS, come password degli account utente locali, credenziali dai browser Mozilla Firefox e basati su Chromium, informazioni sui portafogli criptati e file di interesse, utilizzando una combinazione insolita di codice Python e Apple Script.
