メキシコのユーザーが2023年11月以降、税に関連したフィッシング詐欺を通じて、これまで文書化されていなかったWindowsマルウェア「TimbreStealer」の配布の標的となっている。この活動を発見したCisco Talosによると、このマルウェアの作者は熟練しており、以前にも同様の手法、技術、手順(TTP)を使用して、2023年9月に「Mispadu」という銀行トロイの木馬を配布していた。
フィッシングキャンペーンは、検出を回避し、永続性を確保するために複雑な難読化技術を使用している。また、メキシコのユーザーを特定するために地理フェンシングを利用し、他の場所からペイロードサイトにアクセスした場合は、悪意のあるファイルの代わりに無害な空白のPDFファイルを返す。
TimbreStealerは、さまざまなデータを収集する設計がされており、異なるフォルダからの認証情報、システムメタデータ、アクセスしたURL、特定の拡張子を持つファイルの検索、リモートデスクトップソフトウェアの存在確認などを行う。
Cisco Talosは、TimbreStealerのターゲット産業は多岐にわたり、特に製造業と運輸業界に焦点を当てていると述べている。また、Apple macOSシステムからデータを収集する別の情報窃取マルウェア「Atomic(別名AMOS)」の新バージョンの出現も報告されている。この新バリアントは、PythonスクリプトとApple Scriptコードの珍しい組み合わせを使用して、ローカルユーザーアカウントのパスワード、Mozilla FirefoxおよびChromiumベースのブラウザからの認証情報、暗号ウォレット情報、関心のあるファイルなどを収集する。
さらに、XSSLiteなどの新しいスティーラーマルウェアファミリーの出現や、Agent TeslaやPony(別名FareitまたはSiplog)などの既存のストレインが情報窃取とその後のstealer logsマーケットプレイスでの販売に引き続き使用されていることも指摘されている。
【ニュース解説】
メキシコのユーザーが、2023年11月以降、税に関連したフィッシング詐欺を通じて、これまでに文書化されていなかったWindowsマルウェア「TimbreStealer」の配布の標的となっています。このマルウェアは、熟練した作者によって開発され、以前には「Mispadu」という銀行トロイの木馬を配布するために同様の手法が使用されていました。
このフィッシングキャンペーンは、複雑な難読化技術を使用して検出を回避し、マルウェアの永続性を確保しています。地理フェンシングを利用してメキシコのユーザーを特定し、他の場所からアクセスした場合は無害な空白のPDFファイルを返すことで、標的を絞り込んでいます。
TimbreStealerマルウェアは、認証情報、システムメタデータ、アクセスしたURL、特定の拡張子を持つファイルの検索、リモートデスクトップソフトウェアの存在確認など、幅広いデータを収集するよう設計されています。このマルウェアは、特に製造業と運輸業界をターゲットにしています。
さらに、Apple macOSシステムからデータを収集する能力を持つ「Atomic(別名AMOS)」という別の情報窃取マルウェアの新バージョンの出現も報告されています。この新バリアントは、PythonスクリプトとApple Scriptコードの組み合わせを使用して、さまざまな種類のデータを収集します。
このような情報窃取マルウェアの出現と進化は、サイバーセキュリティの分野において重要な課題を提示しています。これらのマルウェアは、個人や企業の機密情報を盗み出し、不正利用することが可能であり、経済的損失やプライバシーの侵害につながる可能性があります。そのため、ユーザーはフィッシング詐欺に対して警戒し、不審なメールやリンクを開かないよう注意する必要があります。
また、サイバーセキュリティの専門家や企業は、マルウェアの検出と防御のための技術を常に更新し、進化させる必要があります。これには、最新の脅威情報の共有、セキュリティ対策の強化、従業員への教育と訓練が含まれます。長期的には、国際的な協力と法的枠組みの強化も、サイバー犯罪の抑制に寄与するでしょう。
from TimbreStealer Malware Spreading via Tax-themed Phishing Scam Targets IT Users.
