TimbreStealer恶意软件利用规避技术攻击墨西哥公司

admin 2026-07-08 04:49:11 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: TimbreStealer恶意软件针对墨西哥公司,通过钓鱼邮件利用墨西哥电子发票CFDI传播,使用DLL侧加载技术加载45-50MB的恶意DLL伪装成更新程序库。恶意软件采用多层规避措施,包括自定义API解析器、RC4解密、地理围栏(拒绝俄语区域)、时区检查等。激活后收集浏览器、邮件客户端和云同步数据。攻击者使用DigitalOcean云基础设施。该活动与CiscoTalos2024报告呼应,建议加强异常大DLL检测和钓鱼邮件防范。 综合评分: 84 文章分类: 恶意软件,威胁情报,数据泄露,红队,内网渗透


cover_image

TimbreStealer恶意软件利用规避技术攻击墨西哥公司

原创

ZM ZM

暗镜

2026年7月6日 08:00 北京

在小说阅读器读本章

去阅读

一项与 TimbreStealer 信息窃取程序相关的新活动专门针对墨西哥公司,采用多层规避和复杂的运行时技巧来阻挠检测和分析。

研究人员 Euler Neto 和 Cristóbal Tárraga 详细描述了与 2024 年 Cisco Talos 报告相呼应的行为,同时重点介绍了一种值得注意的变体:使用 DLL 侧加载异常大的恶意 DLL(45-50 MB),这些 DLL 伪装成合法的更新程序库,例如 msedgeupdate.dll 和 goopdate.dll。

该活动的初始途径是定向网络钓鱼,提供托管在 DigitalOcean IP 地址上的 ZIP 存档(例如,hxxps://68[.]183[.]155[.]111)。

文件名引用了墨西哥财政文件 CONTENIDO、COMPROBANTES、CFDI,利用该国的强制性电子发票 (CFDI) 流程来提高点击率。

攻击者在 ZIP 文件中将看似合法的更新程序二进制文件与过大的恶意 DLL 文件放在一起;异常的 DLL 大小成为关键的检测启发式方法,因为真正的更新程序 DLL 通常小于 500 KB。

对恶意DLL的静态检测揭示了其强大的反分析措施。二进制文件包含27个节,其中许多节被清零,并被用作分配的内存区域来保存动态生成的内容。

第 1 部分实现了 PEB 的手动解析和导出表,从而实现了一个自定义 API 解析器,避免了使用标准导入表。

第 4 部分包含两个 RC4 解密例程,它们会生成诸如“Zw”和“ntdll.dll”之类的字符串,表明直接使用系统调用,并试图通过在内部解析系统调用来隐藏依赖关系。

TimbreStealer 已知会攻击位于墨西哥的公司。导出的数据是随机生成的,核心操作发生在 DllMain(DLLEntry)中,其中长的字节操作序列会填充内部字节数组,这些数组稍后会在解密和执行流程中使用。

解密过程分阶段进行。算法生成一个 256 字节的密钥,并将其与第 3 节中的 0x3A7C00 字节块一起传递给解密程序,解密程序会揭示一个类似 PE 的有效载荷,其中故意损坏了头部字节(PE 签名字节被置零),以阻止 PE 的自动识别。

解密后的有效载荷映射为一个 32 位 PE,包含四个部分,其中包含加载器逻辑和几个内部调用;执行在早期阶段通过 ExitProcess 终止,从而隐藏了进一步的代码路径。

运行时检查可强制执行强大的地理围栏和反分析:恶意软件会查询用户界面语言(拒绝俄语区域设置),验证时区偏差是否与 UTC-5 到 UTC-8 一致(与墨西哥匹配),并将执行限制在特定的纪元窗口内。

额外的运行时门会检查桌面窗口的所有权,并使用可变的全局键,这些键的值取决于精确的调用顺序,这使得模拟和确定性分析变得复杂。

TimbreStealer一旦激活,就会对浏览器和用户数据存储进行广泛的数据收集。它的目标是Google Chrome和Microsoft Edge用户数据文件夹、Firefox配置文件、Thunderbird和Postbox邮件存储以及云同步文件夹(OneDrive、Dropbox)。

该恶意软件会向浏览器 SQLite 数据库(历史记录、URL、访问记录)发出 SQL 查询,甚至通过 VACUUM 重建数据库,这表明正在准备数据提取和外泄。

观察到的权限提升尝试包括通过 ShellExecuteExW 调用 runas、搜索特定窗口类以操纵 UI 焦点以及通过 CoCreateInstance 实例化 COM 对象。

合法云托管(DigitalOcean)基础设施的重用以及使用可信的更新程序名称进行侧加载,凸显了此次行动的运营成熟度。

这项活动与 Cisco Talos 2024 年的发现非常吻合,同时增加了新的大型 DLL 侧加载工件和更复杂的多阶段解密。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《TimbreStealer恶意软件利用规避技术攻击墨西哥公司》

评论:0   参与:  0