Mexikanische Nutzer wurden seit mindestens November 2023 mit phishing Lockvögeln zum Thema Steuern ins Visier genommen, um eine zuvor nicht dokumentierte Windows-Malware namens TimbreStealer zu verbreiten. Cisco Talos, die diese Aktivität entdeckt hat, beschrieb die Autoren als geschickt und dass der „Bedrohungsakteur zuvor ähnliche Taktiken, Techniken und Verfahren (TTPs) verwendet hat, um im September 2023 einen Bankentrojaner namens Mispadu zu verbreiten.
Die Phishing-Kampagne verwendet raffinierte Verschleierungstechniken, um Erkennung zu umgehen und Durchhaltevermögen zu gewährleisten. Außerdem wird Geofencing eingesetzt, um Nutzer in Mexiko zu identifizieren, wobei bei Kontakt mit den Payload-Websites aus anderen Ländern anstelle des schädlichen Inhalts ein harmloses leeres PDF-Dokument zurückgegeben wird.
Die Malware verfügt über verschiedene eingebettete Module für Orchestrierung, Entschlüsselung und Schutz der Hauptbinärdatei, während auch eine Reihe von Checks durchgeführt wird, um festzustellen, ob sie in einer Sandbox-Umgebung läuft, die Systemsprache nicht Russisch ist und ob die Zeitzone in einer lateinamerikanischen Region liegt.
Der Hauptangriffsvektor von TimbreStealer besteht darin, eine Vielzahl von Daten zu sammeln, darunter Anmeldeinformationen aus verschiedenen Ordnern, Systemmetadaten und besuchte URLs, das Suchen nach Dateien mit bestimmten Erweiterungen und die Überprüfung des Vorhandenseins von Remote-Desktop-Software.
Die Enthüllung erfolgt inmitten des Auftauchens einer neuen Version eines anderen Information-Stealers namens Atomic (auch AMOS genannt), der Daten von Apple macOS-Systemen sammeln kann. Diese Malware ist in der Lage, lokale Benutzerkontopasswörter, Anmeldeinformationen von Mozilla Firefox und Chromium-basierten Browsern, Kryptowallet-Informationen und interessenbezogene Dateien zu sammeln, sowie eine ungewöhnliche Kombination von Python- und Apple Script-Code zu verwenden.
Es folgt auch die Einführung neuer Stealer-Malware-Familien wie XSSLite, die im Rahmen eines von einem Forum veranstalteten Malware-Entwicklungswettbewerbs freigesetzt wurden, obwohl bestehende Stämme wie Agent Tesla und Pony weiterhin für den Diebstahl von Informationen und den anschließenden Verkauf auf Stealer-Log-Märkten wie Exodus verwendet werden.