Penjahat dunia maya menyebarkan pencuri informasi baru ke seluruh Meksiko dengan menangkap target dengan umpan phishing terkait musim pajak – dengan fokus pada organisasi, bukan konsumen.
Kampanye yang diamati oleh Cisco Talos kembali ke bulan November, ketika sampel pertama “Timbre Stealer,” sebuah pencuri informasi baru yang tidak fokus namun memiliki jangkauan luas, pertama kali mulai menyebar ke target melalui email berbahaya. Sejak saat itu, penyakit ini telah menyebar ke organisasi-organisasi di berbagai industri, terutama manufaktur dan transportasi.
Baru-baru ini, para pelaku ancaman telah mempertajam pesan phishing mereka dengan menggunakan musim pajak di Meksiko – yang waktunya hampir bersamaan dengan musim pajak di AS – untuk membuat target perusahaan mereka lengah dan melanggengkan penyebaran Timbre Stealer lebih lanjut.
Kerusakan Pencuri Timbre
Setelah dieksekusi, Timbre Stealer pertama-tama menentukan apakah mesin yang baru terinfeksi itu menarik. Secara khusus, sistem ini memeriksa apakah bahasa sistemnya bukan bahasa Rusia (mungkin merupakan petunjuk tentang pelaku ancaman di balik kampanye ini) dan apakah zona waktunya selaras dengan Amerika Latin.
Selanjutnya, ia memeriksa ulang apakah sistem tersebut belum pernah terinfeksi sebelumnya dan tidak berjalan di lingkungan sandbox. Mekanisme tersembunyi lainnya mencakup penggunaan pemuat khusus, panggilan sistem langsung yang melewati pemantauan API standar, dan membatasi akses ke infrastrukturnya hanya untuk pengguna di wilayah geografis tertentu.
“Kita sering melihat para aktor menerapkan teknik anti-analisis; ini yang terjadi pada steroid,” kata Guilherme Venere, peneliti ancaman di Cisco Talos. “Penyebab ancaman ini tidak hanya menerapkan anti-analisis; mereka menerapkan sebanyak mungkin kemampuan anti-analisis, yang meningkatkan kesulitan bagi peneliti untuk memisahkannya serta bagi teknologi untuk mendeteksinya.”
Setelah ditanam dengan kuat, Timbre Stealer menyebar ke seluruh korban, memulai tugasnya mengumpulkan beragam data yang tersebar luas.
Ia menggunakan antarmuka Windows Management Instrumentation (WMI) dan kunci registri untuk mengumpulkan informasi dari sistem operasi. Itu juga memindai sejumlah direktori dasar, seperti folder Desktop, Dokumen, dan Unduhan, untuk tujuan yang tidak sepenuhnya jelas.
String tertentu dalam kodenya menyarankan agar ia memindai file dan direktori untuk mencari informasi yang berkaitan dengan aplikasi seperti Microsoft Office dan OneDrive, Windows Media Player, berbagai browser (Firefox, Microsoft Edge, Internet Explorer, dan Chrome), Dropbox, Avast, AMD, Brother , HP, Intel, dan lainnya.
Ia juga tertarik pada URL tertentu yang berkaitan dengan situs web populer — Google.com, Wikipedia.org, Facebook.com, dan sejenisnya — yang menurut para peneliti Talos mungkin ada hubungannya dengan kemampuan mengendus jaringan.
Waspadai Penipuan Musim Pajak
Seperti halnya belanja di musim liburan, tenggat waktu pajak dapat menjadi lahan subur bagi para penyerang siber yang bermotivasi finansial.
Seperti yang dijelaskan Venere, “Setiap tahun kita melihat para aktor mengambil keuntungan dari keadaan saat ini, dan musim pajak adalah salah satu musim pajak yang terbesar. Sayangnya ia mencentang banyak kotak untuk penjahat karena melibatkan sejumlah besar uang, informasi pengenal pribadi yang berharga (PII), dan merupakan sesuatu yang harus dihadapi oleh setiap orang dewasa. Jika Anda menggabungkannya, ini adalah badai sempurna bagi penjahat yang ingin menghasilkan uang.”
Pajak juga merupakan hal yang rumit, membosankan, dan penuh tekanan – faktor-faktor yang mungkin membuat para korban kurang memahami apa yang mereka klik.
Dalam kampanye terbaru ini, misalnya, selain faktur umum, para penyerang merancang umpan seputar “Comprobante Fiscal Digital por Internet” (CDFI) (dalam bahasa Inggris: faktur digital fiskal online), standar faktur elektronik wajib di Meksiko yang digunakan untuk pelaporan pajak. Ketika target yang tidak tertarik dan tanpa disadari mengikuti tautan jahat, mereka akan diarahkan untuk mengunduh Timbre Stealer.
Selain pendekatan pertahanan umum yang mendalam terhadap keamanan siber, Venere merekomendasikan bahwa pada saat ini “organisasi harus memberi pelatihan pengguna tentang prevalensi spam berbasis pajak, dengan fokus pada bidang-bidang yang paling mungkin terkena dampak, seperti keuangan.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/ics-ot-security/mexico-timbre-stealer-campaign-heralds-2024-tax-season-threat
