Cyberkriminelle verbreiten einen neuen Informationsstealer in ganz Mexiko, indem sie Ziele mit Phishing-Ködern im Zusammenhang mit der Steuersaison angreifen – wobei der Schwerpunkt eher auf Organisationen als auf Verbrauchern liegt.
Die von Cisco Talos beobachtete Kampagne geht auf den November zurück, als die ersten Exemplare von „Timbre Stealer“, einem neuen unkonzentrierten, aber weitreichenden Infostealer, erstmals über bösartige E-Mails an Ziele verbreitet wurden. Seitdem hat es sich auf Unternehmen in den unterschiedlichsten Branchen ausgeweitet, vor allem in der Fertigung und im Transportwesen.
In jüngerer Zeit haben die Bedrohungsakteure ihre Phishing-Botschaft verfeinert, indem sie die mexikanische Steuersaison – deren Zeitpunkt sich weitgehend mit der der USA überschneidet – nutzen, um ihre Unternehmensziele zu überraschen und die weitere Verbreitung von Timbre Stealer voranzutreiben.
Eine Aufschlüsselung von Timbre Stealer
Bei der Ausführung stellt Timbre Stealer zunächst fest, ob sein neu infizierter Computer von Interesse ist. Insbesondere wird überprüft, ob die Systemsprache nicht Russisch ist (vielleicht ein Hinweis auf den Bedrohungsakteur hinter dieser Kampagne) und ob die Zeitzone mit Lateinamerika übereinstimmt.
Anschließend wird überprüft, ob das System zuvor nicht infiziert wurde und nicht in einer Sandbox-Umgebung ausgeführt wird. Weitere Stealth-Mechanismen umfassen die Verwendung benutzerdefinierter Loader, direkte Systemaufrufe, die die Standard-API-Überwachung umgehen, und die Beschränkung des Zugriffs auf die Infrastruktur nur auf Benutzer in einer bestimmten geografischen Region.
„Wir sehen häufig, dass Akteure Anti-Analyse-Techniken einsetzen; das ist das bei Steroiden“, sagt Guilherme Venere, Bedrohungsforscher bei Cisco Talos. „Die Autoren dieser Bedrohung betreiben nicht nur Anti-Analysen; Sie implementieren so viele Anti-Analyse-Funktionen wie möglich, was es sowohl für den Forscher schwieriger macht, es zu zerlegen, als auch für die Technologie, es zu erkennen.“
Sobald Timbre Stealer fest verankert ist, breitet es sich über das Opfer aus und beginnt mit der Erfassung einer riesigen Menge unterschiedlicher Daten.
Es nutzt die Windows Management Instrumentation (WMI)-Schnittstelle und Registrierungsschlüssel, um Informationen vom Betriebssystem zu sammeln. Es durchsucht auch eine Reihe grundlegender Verzeichnisse, wie die Ordner „Desktop“, „Dokumente“ und „Downloads“, nach Zwecken, die nicht ganz klar sind.
Bestimmte Zeichenfolgen im Code deuten darauf hin, dass Dateien und Verzeichnisse nach Informationen zu Apps wie Microsoft Office und OneDrive, Windows Media Player, verschiedenen Browsern (Firefox, Microsoft Edge, Internet Explorer und Chrome), Dropbox, Avast, AMD und Brother durchsucht werden , HP, Intel und mehr.
Es ist auch an bestimmten URLs interessiert, die sich auf beliebte Websites beziehen – Google.com, Wikipedia.org, Facebook.com und dergleichen –, von denen Talos-Forscher vermuteten, dass sie mit Netzwerk-Sniffing-Funktionen zu tun haben könnten.
Hüten Sie sich vor Steuerbetrug
Wie Weihnachtseinkäufe bieten auch Steuerfristen zuverlässig einen Nährboden für finanziell motivierte Cyber-Angreifer.
Venere erklärt: „Jedes Jahr sehen wir, wie Schauspieler aktuelle Ereignisse ausnutzen, und die Steuersaison ist eine der größten.“ Es erfüllt leider viele Voraussetzungen für Kriminelle, da es sich dabei um große Geldsummen handelt. wertvolle personenbezogene Daten (PII), und ist etwas, mit dem sich jeder Erwachsene auseinandersetzen muss. Wenn man sie kombiniert, ist es ein perfekter Sturm für Kriminelle, die Geld verdienen wollen.“
Steuern sind außerdem kompliziert, langweilig und stressig – Faktoren, die dazu führen können, dass Opfer weniger anspruchsvoll sind, was sie anklicken.
In dieser neuesten Kampagne haben die Angreifer beispielsweise neben generischen Rechnungen auch einen Köder rund um „Comprobante Fiscal Digital por Internet“ (CDFI) (auf Englisch: Online-Fiskal-Digitalrechnung) entwickelt, Mexikos verbindlichen elektronischen Rechnungsstandard für Steuerberichte. Wenn uninteressierte und unwissende Ziele dem bösartigen Link folgen, werden sie dazu verleitet, Timbre Stealer herunterzuladen.
Neben einem allgemeinen, tiefgreifenden Verteidigungsansatz für die Cybersicherheit empfiehlt Venere, dass Organisationen zu dieser Jahreszeit „spenden sollten.“ Benutzerschulung zur Verbreitung von steuerbasiertem Spam, wobei der Schwerpunkt auf den Bereichen liegt, die am wahrscheinlichsten betroffen sein werden, wie zum Beispiel dem Finanzwesen.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/ics-ot-security/mexico-timbre-stealer-campaign-heralds-2024-tax-season-threat
