Los ciberdelincuentes están propagando un nuevo ladrón de información por todo México al capturar objetivos con señuelos de phishing relacionados con la temporada de impuestos, centrándose en organizaciones en lugar de consumidores.
La campaña observada por Cisco Talos se remonta a noviembre, cuando las primeras muestras de “Timbre Stealer”, un nuevo ladrón de información desenfocado pero de amplio alcance, comenzaron a propagarse a objetivos a través de correos electrónicos maliciosos. Desde entonces, se ha extendido a organizaciones de diversas industrias, sobre todo a la manufactura y el transporte.
Más recientemente, los actores de amenazas han perfeccionado su mensaje de phishing utilizando la temporada de impuestos de México, cuyo momento se superpone ampliamente con el de Estados Unidos, para tomar desprevenidos a sus objetivos corporativos y perpetuar la mayor propagación de Timbre Stealer.
Un desglose de Timbre Stealer
Tras la ejecución, Timbre Stealer primero determina si su máquina recién infectada es de interés. En concreto, comprueba que el idioma del sistema no sea el ruso (tal vez un indicio del actor de amenazas detrás de esta campaña) y que su zona horaria esté alineada con América Latina.
A continuación, vuelve a comprobar que el sistema no haya sido infectado previamente y que no se esté ejecutando en un entorno de pruebas. Otros mecanismos sigilosos incluyen el uso de cargadores personalizados, llamadas directas al sistema que evitan el monitoreo API estándar y restringir el acceso a su infraestructura solo a usuarios en una región geográfica específica.
“Comúnmente vemos a los actores implementar técnicas de antianálisis; Esto es lo que ocurre con los esteroides”, afirma Guilherme Venere, investigador de amenazas de Cisco Talos. “Los autores detrás de esta amenaza no sólo implementan el antianálisis; implementan tantas capacidades antianálisis como pueden, lo que aumenta la dificultad para el investigador desarmarlo y para la tecnología detectarlo”.
Una vez firmemente plantado, Timbre Stealer se propaga a través de la víctima y comienza su trabajo recopilando una gran variedad de datos diversos.
Utiliza la interfaz del Instrumental de administración de Windows (WMI) y las claves de registro para recopilar información del sistema operativo. También escanea una serie de directorios fundamentales, como las carpetas Escritorio, Documentos y Descargas, para propósitos que no están del todo claros.
Ciertas cadenas en su código sugieren que escanea archivos y directorios en busca de información relacionada con aplicaciones como Microsoft Office y OneDrive, Windows Media Player, varios navegadores (Firefox, Microsoft Edge, Internet Explorer y Chrome), Dropbox, Avast, AMD, Brother. , HP, Intel y más.
También está interesado en ciertas URL relacionadas con sitios web populares (Google.com, Wikipedia.org, Facebook.com y similares) que los investigadores de Talos especularon que podrían tener que ver con capacidades de rastreo de redes.
Tenga cuidado con las estafas de la temporada de impuestos
Al igual que las compras navideñas, los plazos impositivos proporcionan de manera confiable un terreno fértil para los ciberatacantes con motivación financiera.
Como explica Venere: “Cada año vemos actores aprovechando la actualidad, y la temporada de impuestos es una de las más importantes. Desgraciadamente, cumple muchos requisitos para los delincuentes, ya que implica grandes sumas de dinero, información valiosa de identificación personal (PII), y es algo con lo que todo adulto tiene que lidiar. Cuando los combinas, es una tormenta perfecta para los delincuentes que buscan ganar dinero”.
Los impuestos también son complicados, aburridos y estresantes, factores que podrían hacer que las víctimas sean menos exigentes sobre en qué hacen clic.
En esta última campaña, por ejemplo, además de las facturas genéricas, los atacantes diseñaron un señuelo en torno al “Comprobante Fiscal Digital por Internet” (CDFI), el estándar de factura electrónica obligatorio en México utilizado para la declaración de impuestos. Cuando objetivos desinteresados e involuntarios siguen el enlace malicioso, se les lleva a descargar Timbre Stealer.
Además de un enfoque general de defensa en profundidad de la ciberseguridad, Venere recomienda que en esta época del año “las organizaciones deberían dar Formación de usuarios sobre la prevalencia del spam basado en impuestos., centrándose en aquellas áreas con mayor probabilidad de verse afectadas, como las finanzas”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/ics-ot-security/mexico-timbre-stealer-campaign-heralds-2024-tax-season-threat
