新型恶意软件:TimbreStealer 目标墨西哥用户
关键要点
TimbreStealer 恶意软件自 2023 年 11 月起开始针对墨西哥用户。该恶意软件利用地理围栏技术和高级混淆方法以躲避检测。如果从其他地区访问恶意负载网站,恶意 PDF 文档将被替换为空白。TimbreStealer 会收集系统元数据、访问的 URL 和多目录凭证等信息,同时检查是否安装了远程桌面软件。在墨西哥,潜在受害者正受到以税务为主题的 TimbreStealer Windows 恶意软件的攻击,该恶意软件自 2023 年 11 月起开始传播,甚至可能更早。根据 The Hacker News 的报告,该活动主要通过地理围栏技术来选择性地针对墨西哥用户,并通过使用先进的混淆方法来避免被检测到。
黑洞加速器官方攻击细节
如果用户从其他地区尝试访问恶意载荷网站,恶意 PDF 文档将被替换为空白内容。该负载设计用于收集以下信息: 系统元数据 访问的 URL 多目录凭证
此外,TimbreStealer 会确认是否安装了远程桌面软件,并搜索特定扩展名的文件。为了躲避检测,恶意软件使用了多种规避技术,包括直接系统调用和自定义加载器,以绕过标准 API 监控,并利用 Heaven’s Gate 技术在 32 位进程中运行 64 位代码。
根据 Cisco Talos 的研究,揭露了这一恶意软件活动的安全团队表示,威胁行为者在 2023 年 9 月也使用了相同的策略、技术和程序来部署 Mispadu 银行木马。这表明,TimbreStealer 恶意软件与其他恶意软件之间可能存在关联性。
如您希望了解更多信息,可以参考以下链接: 新型远程访问木马的深入研究
