Cisco Talos ha descubierto una nueva campaña de phishing dirigida a ciudadanos mexicanos con señuelos financieros.
Utilizando señuelos relacionados con los impuestos mexicanos, los correos electrónicos no deseados distribuyen un nuevo ladrón de información ofuscado que Cisco Talos llamó «TimbreStealer».
En esta nueva campaña, que ha estado activa desde noviembre de 2023, el actor de amenazas dirige a los usuarios a un sitio web comprometido donde está alojada la carga útil de TimbreStealer y los engaña para que ejecuten la aplicación maliciosa.
Se observó que la actual ejecución de spam utiliza principalmente el estándar de recibo fiscal digital de México llamado Comprobante Fiscal Digital por Internet (CDFI), según los hallazgos publicados el 28 de febrero de 2024.
La campaña de phishing utiliza técnicas de geocercado para dirigirse únicamente a usuarios en México, y cualquier intento de contactar los sitios de carga útil desde otras ubicaciones devolverá un archivo PDF en blanco en lugar del archivo malicioso.
Los investigadores de Talos observaron una sofisticada variedad de técnicas en el código de TimbreStealer para eludir la detección, realizar ejecuciones sigilosas y garantizar su persistencia dentro de los sistemas comprometidos.
Algunas técnicas de ofuscación integradas en TimbreStealer «incluyen aprovechar las llamadas directas al sistema para evitar el monitoreo API convencional, emplear la técnica Heaven’s Gate para ejecutar código de 64 bits dentro de un proceso de 32 bits y utilizar cargadores personalizados», se lee en el informe.
Estas características indican un alto nivel de sofisticación, lo que sugiere que los autores son expertos y han desarrollado estos componentes internamente.
Cisco Talos observó tácticas, técnicas y procedimientos (TTP) similares en campañas que distribuían un troyano bancario conocido como Mispadu.