Вредоносное ПО TimbreStealer использует налоговый сезон

Была выявлена весьма изощренная кампания по киберпреступности с использованием вредоносного ПО «Timbre Stealer», нацеленная на различные отрасли промышленности по всей стране. Первоначально обнаруженная Cisco Talos в ноябре, вредоносная деятельность в основном сосредоточена на производственном и транспортном секторах. Стратегическое время кампании совпадает с подготовкой к уплате налогов, используя повышенный стресс и сложности в этот период для проведения фишинговых атак, направленных на сбор конфиденциальной информации.

Фишинговая кампания

Усовершенствованная вредоносная программа-похититель информации Timbre Stealer распространяется через тщательно созданные фишинговые электронные письма. Эти послания специально созданы с учетом текущего налогового сезона и используют тактику, аналогичную кампаниям, наблюдаемым в Соединенных Штатах. Воспользовавшись этим моментом, киберпреступники намерены застать организации врасплох, увеличивая шансы на успешные взломы. Вредоносное ПО выполняет первоначальные проверки зараженных систем, проверяя такие критерии, как язык системы и настройки географического часового пояса, соответствующие Латинской Америке, что обеспечивает целевую специфичность кампании.

После проникновения Timbre Stealer использует сложные методы уклонения, включая специальные загрузчики и прямые системные вызовы, чтобы обойти традиционные механизмы обнаружения. Основная цель вредоносного ПО — извлекать данные через интерфейс инструментария управления Windows (WMI), тщательно сканируя каталоги и нацеливаясь на файлы, связанные с популярными приложениями и службами. Эта функция позволяет собирать широкий спектр конфиденциальных данных и финансовых подробностей, что представляет значительный риск для затронутых организаций и частных лиц.

Использование уязвимостей во время налогового сезона

Время проведения кампании является стратегическим: оно совпадает с налоговым сезоном в Мексике, чтобы использовать рост онлайн-активности и стресс, связанный с финансовыми сроками. Это создает благоприятную среду для попыток фишинга, поскольку отдельные лица и организации с большей вероятностью будут участвовать в коммуникациях, связанных с налогами. Следовательно, этот период служит окном возможностей для злоумышленников для распространения Timbre Stealer, используя срочность и сложность налоговой подготовки для сокрытия своих злонамеренных намерений.

Обнаружение кампании Timbre Stealer подчеркивает меняющуюся картину киберугроз и постоянную необходимость проявлять бдительность, особенно в периоды повышенной восприимчивости, такие как налоговые сезоны. Организациям настоятельно рекомендуется усилить меры кибербезопасности и проявлять осторожность в отношении нежелательных сообщений, особенно тех, которые связаны с финансовыми вопросами. По мере того, как киберпреступники совершенствуют свои стратегии, невозможно переоценить значение превентивных и комплексных мер безопасности, которые служат решающей защитой от таких передовых вредоносных программ, крадущих информацию.