Cisco Talos reporta haber examinado una campaña de spam dirigida a víctimas potenciales en México que atrae a los usuarios para que descarguen un nuevo ladrón de información denominado “TimbreStealer”, que ha estado activo desde –al menos– noviembre de 2023.
Esta campaña utiliza correos electrónicos de phishing con temas contables, dirigiendo a los usuarios a un sitio web comprometido donde se aloja la carga útil y los engaña para que ejecuten la aplicación maliciosa.
De manera particular, en esta campaña se utilizan técnicas de cercado geográfico (geofencing) para dirigirse únicamente a usuarios de México.
Cualquier intento por contactar los sitios de carga útil desde otras ubicaciones, distintas a la República Mexicana, devolverá un archivo PDF en blanco en lugar del archivo malicioso.
De acuerdo con información difundida por Cisco Talos, se ha observado que el spam actual utiliza principalmente el estándar de comprobantes fiscales digitales de México denominado CFDI (comprobante fiscal digital por internet). También se han detectado correos electrónicos con temas de facturas genéricas utilizados para la misma campaña.
Un nuevo ladrón basado en ofuscación
TimbreStealer exhibe una sofisticada gama de técnicas para eludir la detección, participar en la ejecución sigilosa y asegurar su persistencia dentro de los sistemas comprometidos. Esto incluye el aprovechamiento de las llamadas directas al sistema para eludir la supervisión convencional de la API, el empleo de la técnica Heaven’s Gate para ejecutar código de 64 bits dentro de un proceso de 32 bits y la utilización de cargadores personalizados.
Estas características indican un alto nivel de sofisticación, lo que sugiere que los autores son expertos y han desarrollado estos componentes internamente.
Campaña previa de spam de Mispadu
La actividad asociada con estas campañas de distribución actuales se detectó por primera vez en septiembre de 2023, cuando los ciberatacantes distribuían una variante del ladrón de información Mispadu. En ese entonces empleaba sitios web comprometidos para distribuir un archivo Zip que contenía un archivo “.url” que utilizaba una ruta WebDAV para ejecutar un archivo alojado externamente cuando la víctima hacía doble clic en él.
Esta campaña estuvo activa hasta mediados de noviembre, momento en que se lanzó una nueva carga útil con TimbreStealer en los equipos de cómputo de las víctimas desde el sitio web comprometido.
Los sectores a los que se dirige esta campaña son diversos, con un ligero enfoque en la fabricación y el transporte, como se puede ver a continuación:
Campaña de spam con CFDI como señuelo
A mediados de noviembre de 2023 –y aún en febrero de 2024– se detectó una campaña de bajo volumen utilizando CFDI para atraer a los usuarios a descargar y ejecutar un archivo malicioso disfrazado de documento PDF. En ésta se utilizó un correo electrónico de spam como señuelo para redirigir a los usuarios a una página web maliciosa alojada en sitios comprometidos.
Los asuntos de los correos electrónicos en esta campaña siguen el mismo tema:
- Recibió un Comprobante Fiscal Digital (CFDI). Folio Fiscal: fcd7bf2f-e800-4ab3-b2b8-e47eb6bbff8c
- Recibió una Factura. Folio Fiscal: 050e4105-799f-4d17-a55d-60d1f9275288
El sitio web utiliza Javascript para detectar características del usuario como la geolocalización y el tipo de navegador y, a continuación, inicia la descarga de un archivo Zip que contiene un archivo .url, que a su vez descargará el dropper inicial de TimbreStealer mediante WebDAV. El archivo Zip suele tener el mismo nombre:
CFDI_930209.zip
FACTURA_560208.zip
Mensaje que aparece después de que el usuario visite el sitio donde se descarga el malware dropper inicial.
Es importante mencionar que se requiere la interacción del usuario para abrir el archivo Zip descargado y hacer doble clic en el archivo .url para que se ejecute el malware, momento en el que se iniciará la infección principal de TimbreStealer.
¿Cómo pueden las empresas detectar y bloquear esta amenaza?
Algunas de las herramientas son la seguridad en endpoint para prevenir la ejecución del malware; dispositivos web seguros que impiden el acceso a sitios web maliciosos y detectan el malware utilizado en estos ataques, así como servicios de correos electrónicos seguros para bloquear mensajes maliciosos enviados.
Otras herramientas son los analíticos de seguridad para malware que identifican binarios maliciosos; puertas de enlace seguras a internet que bloquean la conexión de los usuarios a dominios, IP y URL maliciosos, cortafuegos y centros de gestión para éstos, así como sistemas de autenticación multifactor para usuarios que garantizan que sólo las personas autorizadas accedan a una red.