TimbreStealer kampány
A Cisco Talos egy új kampányt fedezett fel, amelyet egy korábban ismeretlen, általuk TimbreStealer-nek nevezett rosszindulatú programot terjesztő fenyegető szereplő működtet. Ez a fenyegető szereplő a TimbreStealert egy legalább 2023 novemberétől kezdődő, mexikói adózással kapcsolatos témákat használó spam-kampányon keresztül terjesztette. A fenyegető szereplő korábban hasonló taktikákat, technikákat és eljárásokat (TTP-ket) használt a Miseadu nevű banki trójai terjesztéséhez.
A TimbreStealer egy új obfuszkált információlopó, amelyet mexikói szervezeteket használ ki. Számos beágyazott modult tartalmaz, amelyeket a malware binárisának hangszereléséhez, dekódolásához és védelméhez használnak. A Talos megfigyelt egy folyamatos adathalász spamkampányt, amely potenciális mexikói áldozatokat céloz meg, és a felhasználókat egy új, általunk TimbreStealer-nek nevezett obfuszkált információlopó letöltésére csábítja, amely legalább 2023 novembere óta aktív. Ez a kampány pénzügyi témájú adathalász e-maileket használ, amelyek a felhasználókat egy veszélyeztetett weboldalra irányítják, ahol a hasznos terhet tárolják, és a rosszindulatú alkalmazás futtatására csábítják őket.
Az adathalászkampány geofencing technikákat használ, hogy csak a mexikói felhasználókat célozza meg, és ha más helyekről próbálnak kapcsolatba lépni a payload oldalakkal, a rosszindulatú fájl helyett egy üres PDF fájlt kapnak vissza. A jelenlegi spamfuttatás a megfigyelések szerint főként a mexikói digitális adóigazolvány-szabványt, a CDFI-t használja (ami a “Comprobante Fiscal Digital por Internet”, azaz az online adóügyi digitális számla rövidítése angolul). A Talos megfigyelt olyan e-maileket is, amelyek ugyanehhez a kampányhoz használt általános számlatémákat használtak.
Bár nem találtak egyértelmű bizonyítékot a két kampány összekapcsolására, nagy valószínűséggel úgy ítélik meg, hogy ugyanaz a fenyegető szereplő működteti őket, a kampányban megfigyelt azonos TTP-k és a Mispadu korábbi terjesztési tevékenysége alapján, valamint az alapján, hogy miután a TimbreStealer terjesztése megkezdődött, nem találtak több bizonyítékot a Mispadu használatára.