Seguridad

TimbreStealer: el malware que roba información de usuarios mexicanos mediante correos falsos de CFDI

Los usuarios mexicanos son el blanco de una campaña de phishing que utiliza el estándar de comprobantes fiscales digitales de México (CFDI) para distribuir un ladrón de información llamado TimbreStealer. El malware utiliza técnicas avanzadas para eludir la detección y robar datos sensibles de las víctimas desde noviembre de 2023, de acuerdo con Cisco Talos.

Un nuevo malware llamado TimbreStealer se ha detectado en México, donde se distribuye mediante correos electrónicos falsos de CFDI. Así lo ha revelado Cisco Talos, que ha analizado una campaña de spam que lleva operando desde noviembre de 2023. Los usuarios son redirigidos a sitios web infectados donde se les ofrece descargar un archivo que contiene el ladrón de información.

La campaña solo afecta a los usuarios mexicanos, ya que utiliza técnicas de geofencing para filtrar las visitas desde otras regiones, que solo reciben un PDF vacío. Los correos electrónicos usan temas relacionados con la contabilidad, como facturas o comprobantes fiscales digitales, que son el estándar en México.

TimbreStealer es un malware muy avanzado que usa métodos de ofuscación para evitar ser detectado y eliminar rastros de su actividad. Entre sus técnicas se encuentran las llamadas directas al sistema, la técnica Heaven’s Gate y los cargadores personalizados. Estas características sugieren que los autores tienen un alto nivel de conocimiento y han creado estos componentes desde cero.

Antes de TimbreStealer, los ciberatacantes usaban otra variante de ladrón de información llamada Mispadu, que se detectó por primera vez en septiembre de 2023. Esta campaña usaba sitios web comprometidos para distribuir un archivo Zip con un archivo “.url” que ejecutaba un archivo externo mediante WebDAV al hacer doble clic. Esta campaña se desactivó a mediados de noviembre, cuando se reemplazó por TimbreStealer.

La campaña tiene un alcance amplio, pero se enfoca ligeramente en los sectores de la fabricación y el transporte.

Campaña de spam con CFDI como señuelo

Desde noviembre de 2023 hasta febrero de 2024, se ha observado una campaña de bajo volumen que usa CFDI para engañar a los usuarios y hacerles descargar y ejecutar un archivo malicioso que parece un documento PDF. La campaña usa correos electrónicos de spam para llevar a los usuarios a una página web maliciosa alojada en sitios comprometidos.

Los correos electrónicos tienen el mismo asunto:

Recibió un Comprobante Fiscal Digital (CFDI). Folio Fiscal: fcd7bf2f-e800-4ab3-b2b8-e47eb6bbff8c

Recibió una Factura. Folio Fiscal: 050e4105-799f-4d17-a55d-60d1f9275288

El sitio web usa Javascript para detectar características del usuario como la geolocalización y el tipo de navegador y luego inicia la descarga de un archivo Zip que contiene un archivo .url, que descargará el dropper inicial de TimbreStealer mediante WebDAV. El archivo Zip suele tener el mismo nombre:

CFDI_930209.zip

FACTURA_560208.zip

Después de visitar el sitio donde se encuentra el malware dropper inicial, el usuario ve este mensaje.

Es necesario que el usuario interactúe para abrir el archivo Zip que se ha descargado y haga doble clic en el archivo .url que contiene el malware. Así se iniciará la infección de TimbreStealer.

¿Qué pueden hacer las empresas para protegerse de este ataque?

Algunas de las herramientas son la seguridad en endpoint, que evita que el malware se ejecute; dispositivos web seguros, que bloquean el acceso a sitios web infectados y detectan el malware que se usa en estos ataques, y servicios de correos electrónicos seguros, que filtran los mensajes maliciosos que se envían.

Otras herramientas son los analíticos de seguridad para malware, que reconocen los binarios maliciosos; puertas de enlace seguras a internet, que impiden la conexión de los usuarios a dominios, IP y URL infectados, cortafuegos y centros de gestión para los mismos, y sistemas de autenticación multifactor para usuarios, que aseguran que solo las personas autorizadas entren a una red.

Autor

[mdx-adserve-bstreet region="MED"]

Publicaciones relacionadas

Botón volver arriba