Expertos de ciberseguridad identificaron un nuevo grupo de ladrones de información llamado TimbreStealer, el cual utiliza correos de phishing con pretextos como facturas y comprobantes fiscales digitales. En Unotv.com te explicamos cómo funciona este malware dirigido a contribuyentes mexicanos.
Alertan por comprobantes fiscales falsos para robar información
La campaña de TimbreStealer utiliza correos electrónicos de phishing con temas relacionados con impuestos mexicanos.
Con este “anzuelo”, dirigen a los usuarios a un sitio web comprometido donde se aloja el malware y engañándolos para que ejecuten la aplicación maliciosa, según la empresa de ciberseguridad
“Se ha observado que el spam actual utiliza principalmente el estándar de comprobantes fiscales digitales de México denominado CFDI (comprobante fiscal digital por internet). También se han detectado correos electrónicos con temas de facturas genéricas utilizados para la misma campaña”.
¿Cómo funciona el malware de TimbreStealer?
Los comprobantes fiscales digitales son el señuelo para esta campaña de correos de phishing, es decir, una técnica que consiste en el envío de correos electrónicos –o SMS– que suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario “En ésta se utilizó un correo electrónico de spam como señuelo para redirigir a los usuarios a una página web maliciosa alojada en sitios comprometidos”, según los trabajadores de ciberseguridad.
Los asuntos de los correos electrónicos en la campaña de TimbreStealer contienen constantemente el mismo asunto:
El sitio web detecta características del usuario como el tipo de navegador que usa y, a continuación, inicia la descarga de un archivo Zip que contiene el archivo .url, que a su vez descargará el malware inicial de TimbreStealer.
Se requiere de la interacción del usuario para abrir el archivo Zip descargado y hacer doble clic en el archivo .url para que se ejecute el malware, momento en el que se iniciará la infección principal de TimbreStealer.
Se trata de un ciberataque dirigido a México
Dicha campaña de phishing utiliza técnicas de cercado geográfico (geofencing) para dirigirse únicamente a usuarios de México desde al menos noviembre de 2023, según los expertos en informática.
Cualquier intento por contactar los sitios de carga útil desde otras ubicaciones, distintas a la República Mexicana, devolverá un archivo PDF en blanco en lugar del archivo malicioso, precisan.
¿Qué información te pueden robar?
El malware de TimbreStealer puede recopilar una gran variedad de información de la máquina de la víctima y publicar datos en un sitio web externo. Ésta es la información que el grupo atacante puede robar:
- Credenciales de la máquina de la víctima como el acceso a navegadores como Google Chrome o a servicios de alojamiento como OneDrive
- Archivos relacionados con AdwCleaner, Avast Scanner y carpetas de cuarentena de 360 Antivirus, así como carpetas relacionadas con MacOS
- Información del sistema operativo gracias al uso de la interfaz del Instrumental de administración de Windows (WMI)
- URLs accedidas como:
- www.google.com
- amazon.com
- dropbox.com
- linkedin.com
- twitter.com
- wikipedia.org
- facebook.com
- login.live.com
- apple.com
- www.paypal.com
- Software de escritorio remoto
