¡Cuidado contribuyente! Te envían facturas falsas para robarte: así puedes identificarlas

Expertos de ciberseguridad identificaron un nuevo grupo de ladrones de información llamado TimbreStealer, el cual utiliza correos de phishing con pretextos como facturas y comprobantes fiscales digitales. En Unotv.com te explicamos cómo funciona este malware dirigido a contribuyentes mexicanos.

Alertan por comprobantes fiscales falsos para robar información

La campaña de TimbreStealer utiliza correos electrónicos de phishing con temas relacionados con impuestos mexicanos.

Con este “anzuelo”, dirigen a los usuarios a un sitio web comprometido donde se aloja el malware y engañándolos para que ejecuten la aplicación maliciosa, según la empresa de ciberseguridad Cisco Talos.

“Se ha observado que el spam actual utiliza principalmente el estándar de comprobantes fiscales digitales de México denominado CFDI (comprobante fiscal digital por internet). También se han detectado correos electrónicos con temas de facturas genéricas utilizados para la misma campaña”.

Cisco Talos

¿Cómo funciona el malware de TimbreStealer?

Los comprobantes fiscales digitales son el señuelo para esta campaña de correos de phishing, es decir, una técnica que consiste en el envío de correos electrónicos –o SMS– que suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario

“En ésta se utilizó un correo electrónico de spam como señuelo para redirigir a los usuarios a una página web maliciosa alojada en sitios comprometidos”, según los trabajadores de ciberseguridad.

Imagen: Cisco Talos.

Los asuntos de los correos electrónicos en la campaña de TimbreStealer contienen constantemente el mismo asunto:

  • Recibió un Comprobante Fiscal Digital (CFDI)“.
    • Folio Fiscal: fcd7bf2f-e800-4ab3-b2b8-e47eb6bbff8c
  • Recibió una Factura“.
    • Folio Fiscal: 050e4105-799f-4d17-a55d-60d1f9275288

[TE RECOMENDAMOS: Roblox, alertan por robo de contraseñas en la plataforma de videojuegos: “Es una amenaza para los niños”]

El sitio web detecta características del usuario como el tipo de navegador que usa y, a continuación, inicia la descarga de un archivo Zip que contiene el archivo .url, que a su vez descargará el malware inicial de TimbreStealer.

  • El archivo Zip suele llamarse: CFDI_930209.zip o FACTURA_560208.zip.
Imagen: Cisco Talos

Se requiere de la interacción del usuario para abrir el archivo Zip descargado y hacer doble clic en el archivo .url para que se ejecute el malware, momento en el que se iniciará la infección principal de TimbreStealer.

Se trata de un ciberataque dirigido a México

Dicha campaña de phishing utiliza técnicas de cercado geográfico (geofencing) para dirigirse únicamente a usuarios de México desde al menos noviembre de 2023, según los expertos en informática.

Cualquier intento por contactar los sitios de carga útil desde otras ubicaciones, distintas a la República Mexicana, devolverá un archivo PDF en blanco en lugar del archivo malicioso, precisan.

¿Qué información te pueden robar?

El malware de TimbreStealer puede recopilar una gran variedad de información de la máquina de la víctima y publicar datos en un sitio web externo. Ésta es la información que el grupo atacante puede robar:

  • Credenciales de la máquina de la víctima como el acceso a navegadores como Google Chrome o a servicios de alojamiento como OneDrive
  • Archivos relacionados con AdwCleaner, Avast Scanner y carpetas de cuarentena de 360 Antivirus, así como carpetas relacionadas con MacOS
  • Información del sistema operativo gracias al uso de la interfaz del Instrumental de administración de Windows (WMI)
  • URLs accedidas como:
    • www.google.com
    • amazon.com
    • dropbox.com
    • linkedin.com
    • twitter.com
    • wikipedia.org
    • facebook.com
    • login.live.com
    • apple.com
    • www.paypal.com
  • Software de escritorio remoto

Fuente: Cisco Talos

El archivo malicioso también tiene la capacidad de deshabilitar las protecciones del sistema de una computadora, además de que publica los datos hurtados en un sitio remoto, adelantan los investigadores en materia de ciberseguridad.

[TE PODRÍA INTERESAR: “Coyote”, el nuevo virus bancario que puede robar tus datos financieros]

¿Cuáles son los sectores más afectados por esta campaña de phishing?

Los sectores a los que se dirige esta campaña son diversos, con un ligero enfoque en la fabricación y el transporte, de acuerdo con información de Cisco Talos. Estos son todos los sectores atacados:

  • Manufactura (fabricación)
  • Transporte y almacenamiento
  • Todas las demás industrias
  • Asistencia sanitaria y social
  • Servicios de alojamiento y comida
  • Finanzas y seguros
  • Servicios educativos
  • Comercio al por menor
  • Gestión de empresas y emprendimientos
  • Servicios profesionales, técnicos y científicos
  • Información
  • Comercio al por mayor
  • Construcción

Fuente: Cisco Talos

Expertos alertan por este ladrón de información

TimbreStealer no es una amenaza nueva para los expertos de Cisco Talos, pues lo vincularon con campañas de distribución desde al menos septiembre de 2023, cuando inicialmente distribuían una variante del troyano bancario Mispadu.

“El actor de amenazas ha utilizado anteriormente tácticas, técnicas y procedimientos (TTP) similares para distribuir un troyano bancario conocido como Mispadu“, dice la empresa que no pudo encontrar similitudes con el nuevo malware.

¿Por qué el malware de TimbreStealer es tan difícil de detectar?

TimbreStealer exhibe una sofisticada variedad de técnicas para eludir la detección, realizar ejecuciones sigilosas y garantizar su persistencia dentro de los sistemas comprometidos, según Cisco Talos.

Los procesos que utiliza el grupo cibercriminal, tales como las llamadas directas para evitar el monitoreo API y una clave de descifrado global, demuestran que “los autores son expertos y han desarrollado estos componentes internamente”.

¿Cómo detectar y bloquear esta amenaza?

Las herramientas para prevenir ataques de TimbreStealer con este malware son dispositivos de Endpoint, los cuales impiden el acceso a sitios web maliciosos que detectan el virus.

Además, los expertos recomiendan acceder a servicios de correos electrónicos seguros para bloquear mensajes maliciosos recibidos. Por otro lado, se aconseja el uso de analíticos de seguridad para malware que identifican archivos maliciosos.

Finalmente, los especialistas llaman a utilizar sistemas de autenticación multifactor para usuarios que garantizan que sólo las personas autorizadas accedan a una red.

Qué opinas