Cómo eliminar el malware TimbreStealer del sistema operativo
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es TimbreStealer?
TimbreStealer es un software malicioso diseñado para robar información. Se observó por primera vez que proliferaba a través de campañas de spam por correo electrónico en otoño de 2023 y en febrero de 2024 seguía distribuyéndose activamente. Se observó que este malware se utilizaba para atacar exclusivamente a usuarios de México.
Aunque no es definitivo, algunas pruebas vinculan a los delincuentes detrás de TimbreStealer con campañas que propagan el troyano bancario Mispadu. Sin embargo, parece que estos ciberdelincuentes ya no utilizan Mispadu.
Resumen del malware TimbreStealer
TimbreStealer es un sofisticado malware altamente ofuscado. Los ataques conocidos emplean loaders hechos a medida para infiltrar TimbreStealer en los sistemas. Este stealer comprueba si se ejecuta en una máquina virtual o en un entorno sandbox. Tiene capacidades antidetección y antidepuración.
TimbreStealer también busca archivos relacionados con software antivirus. Este malware es modular y utiliza múltiples módulos y submódulos. El programa puede mostrar un documento señuelo para desviar la atención de las víctimas de su comportamiento malicioso.
En el momento de la investigación, tras la infiltración, TimbreStealer comenzó por recopilar datos relevantes del dispositivo, incluida información detallada de geolocalización. Para más detalles, verificaba si el idioma del sistema operativo no era el ruso y si la zona horaria coincidía con México.
TimbreStealer puede extraer y filtrar datos de los navegadores Google Chrome, Mozilla Firefox y Microsoft Edge. Principalmente, el malware busca historiales de navegación y credenciales de inicio de sesión guardadas (nombres de usuario/contraseñas).
El programa pretende obtener información relacionada con los servicios de alojamiento de archivos OneDrive y Dropbox, así como con el cliente de correo electrónico Mozilla Thunderbird. TimbreStealer busca URL de interés, entre las que se incluyen los servicios de almacenamiento en la nube antes mencionados, Amazon, Apple, Facebook, Google, LinkedIn, PayPal, X (más conocido por su antiguo nombre: Twitter) y otros.
El stealer busca software de acceso remoto, pero el propósito detrás de esto no está claro actualmente. Algunos programas maliciosos pueden autopropagarse a dispositivos conectados remotamente, lo que podría ser un objetivo futuro de este malware.
TimbreStealer también navega por numerosas carpetas del sistema y del usuario; estas últimas incluyen escritorio, documentos, descargas y otras. El stealer busca varios archivos, incluyendo copias de seguridad, bases de datos, certificados de seguridad de Internet, documentos de texto, hojas de cálculo, etc. Los formatos objetivo son .bak, .cer, .cmp, .dat, .db, .dbf, .fbk, .fdb, .mdf, .ods, .txt, .xls, .xlsx, .xml y .zuhpgmcf. El último - ".zuhpgmcf" - es un formato de archivo desconocido; podrían ser archivos creados por el propio TimbreStealer.
Cabe destacar que los desarrolladores de malware suelen mejorar su software y sus metodologías. Por lo tanto, las posibles versiones futuras de TimbreStealer podrían tener funcionalidades y características adicionales/diferentes.
En resumen, la presencia de software como TimbreStealer en los dispositivos puede provocar graves problemas de privacidad, pérdidas económicas y robos de identidad.
| Nombre | Virus TimbreStealer |
| Tipo de amenaza | Troyano, stealer, virus ladrón de contraseñas, malware bancario, spyware. |
| Nombres de detección | Avast (Win32:Evo-gen [Trj]), Combo Cleaner (Trojan.GenericKD.71783999), ESET-NOD32 (Una variante de Win32/Kryptik.HVWT), Kaspersky (Trojan.Win32.Agent.xbltal), Microsoft (PWS:Win32/Zbot!ml), Lista completa de detecciones (VirusTotal) |
| Síntomas | Los troyanos están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer ocultos, por lo que no se aprecian síntomas particulares en una máquina infectada. |
| Métodos de distribución | Correos electrónicos no deseados, anuncios maliciosos en Internet, ingeniería social, "cracks" de software. |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una botnet. |
| Eliminación de Malware | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de malware del tipo stealer
Hemos investigado innumerables muestras de malware; XSSLite, 44Caliber, Spock y VietCredCare son sólo algunos de nuestros artículos más recientes sobre stealers.
El software malicioso no se limita a su clasificación, y las capacidades de robo de datos son comunes a varios tipos. Sin embargo, independientemente de si el malware tiene como objetivo los datos o qué información busca, su presencia en un sistema amenaza la integridad del dispositivo y la seguridad del usuario. Por tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.
¿Cómo se infiltró TimbreStealer en mi ordenador?
Como se ha mencionado en la introducción, TimbreStealer ha proliferado a través de campañas de spam desde el otoño de 2023. Los correos maliciosos utilizaban señuelos genéricos con temas de facturas y otros relacionados con el "Comprobante Fiscal Digital por Internet" (CDFI), la factura electrónica estándar para los informes fiscales en México.
Los correos tenían asuntos como "Recibió una Factura. Folio Fiscal: 050e4105-799f-4d17-a55d-60d1f9275288", "Recibió un Comprobante Fiscal Digital (CFDI). Folio Fiscal: fcd7bf2f-e800-4ab3-b2b8-e47eb6bbff8c", etc. Estos correos contenían enlaces que redirigían a los usuarios a sitios web malignos destinados a engañarlos para que descargaran un archivo ZIP infeccioso.
Los sitios empleaban técnicas de geobloqueo para permitir el acceso únicamente a usuarios con base en México; a los visitantes de fuera de la región se les presentaba en su lugar un documento PDF en blanco. Los archivos virulentos conocidos se llamaban "CFDI_930209.zip" y "FACTURA_560208.zip" (no es improbable que tengan otros nombres). Una vez que la víctima abría el ZIP descargado y hacía clic en el archivo .URL, se iniciaba la cadena de infección de TimbreStealer.
Sin embargo, es pertinente mencionar que otros señuelos o métodos de distribución son posibles. El software malicioso suele camuflarse o incluirse en archivos de programas o multimedia normales. Vienen en varios formatos, por ejemplo, archivos comprimidos (ZIP, RAR, etc.), ejecutables (.exe, .run, etc.), documentos (PDF, Microsoft Office, Microsoft OneNote, etc.), JavaScript, etc.
Las técnicas de proliferación más utilizadas son: adjuntos/enlaces maliciosos en spam (por ejemplo, correos electrónicos, DM/PM, publicaciones en redes sociales, etc.), drive-by downloads (descargas furtivas y engañosas), estafas en línea, publicidad maliciosa, fuentes de descarga poco fiables (por ejemplo, freeware y sitios web de terceros, redes de intercambio Peer-to-Peer, etc.), programas/medios pirateados, herramientas ilegales de activación de software ("cracking") y actualizaciones falsas.
Algunos programas maliciosos pueden incluso autopropagarse a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¿Cómo evitar la instalación de programas maliciosos?
Es esencial tratar con precaución los correos electrónicos y otros mensajes entrantes. Los archivos adjuntos o enlaces presentes en correos dudosos/irrelevantes no deben abrirse, ya que pueden ser virulentos. Recomendamos tener cuidado al navegar, ya que los contenidos fraudulentos y maliciosos en línea suelen parecer legítimos e inocuos.
Además, todas las descargas deben realizarse desde fuentes oficiales y verificadas. Otra recomendación es activar y actualizar los programas utilizando funciones/herramientas proporcionadas por desarrolladores genuinos, ya que las obtenidas de terceros pueden contener malware.
Es primordial para la seguridad del dispositivo/usuario tener instalado un antivirus de confianza y mantenerlo actualizado. El software de seguridad debe utilizarse para ejecutar análisis regulares del sistema y eliminar amenazas y problemas. Si cree que su ordenador ya está infectado, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente el malware infiltrado.
Captura de pantalla de un correo electrónico de spam que propaga el programa malicioso TimbreStealer (fuente de la imagen: Cisco Talos):
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú de acceso rápido:
- ¿Qué es TimbreStealer?
- PASO 1. Eliminación manual del malware TimbreStealer.
- PASO 2. Comprobar si su ordenador está libre de virus.
¿Cómo eliminar malware manualmente?
La eliminación manual de malware es una tarea complicada - normalmente es mejor dejar que los programas antivirus o anti-malware lo hagan automáticamente. Para eliminar este malware recomendamos utilizar Combo Cleaner.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. He aquí un ejemplo de un programa sospechoso que se ejecuta en el ordenador de un usuario:
Si ha comprobado la lista de programas que se ejecutan en su ordenador, por ejemplo, utilizando el administrador de tareas, y ha identificado un programa que parece sospechoso, debe continuar con estos pasos:
Descargar un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reiniciar su ordenador en Modo Seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo Seguro. Haga clic en Inicio, en Apagar, en Reiniciar y en Aceptar. Durante el proceso de inicio del ordenador, pulse la tecla F8 del teclado varias veces hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione Modo seguro con funciones de red en la lista.
Vídeo que demuestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Iniciar Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de la búsqueda seleccione Configuración. Haga clic en Opciones avanzadas de inicio, en la ventana abierta "Configuración general del PC", seleccione Inicio avanzado.
Haga clic en el botón "Reiniciar ahora". Su ordenador se reiniciará en el "Menú de opciones avanzadas de inicio". Haga clic en el botón "Solucionar problemas" y, a continuación, en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio".
Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú que se abre, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "Mayús" del teclado. En la ventana "elegir una opción" haga clic en "Solucionar problemas", a continuación seleccione "Opciones avanzadas".
En el menú de opciones avanzadas seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente ventana pulse la tecla "F5" de su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Vídeo que demuestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":
Extraer el archivo descargado y ejecutar el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en "Opciones" en la parte superior y desmarque las opciones "Ocultar ubicaciones vacías" y "Ocultar entradas de Windows". Tras este procedimiento, haga clic en el icono "Actualizar".
Revisar la lista proporcionada por la aplicación Autoruns y localizar el archivo de malware que desea eliminar.
Anote su ruta completa y su nombre. Tenga en cuenta que algunos programas maliciosos ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez localizado el programa sospechoso que desea eliminar, haga clic con el botón derecho del ratón sobre su nombre y elija "Eliminar".
Después de eliminar el malware a través de la aplicación Autoruns (esto garantiza que el malware no se ejecutará automáticamente en el siguiente inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de activar los archivos y carpetas ocultas antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicie el ordenador en modo normal. Al seguir estos pasos se debería eliminar el malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere conocimientos informáticos avanzados. Si no dispone de estos conocimientos, deje la eliminación de malware en manos de programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones avanzadas de malware. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener el ordenador seguro, instale las últimas actualizaciones del sistema operativo y utilice software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos que lo analice con Combo Cleaner.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware TimbreStealer, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
La eliminación del malware rara vez requiere formateo.
¿Cuáles son los principales problemas que puede causar el malware TimbreStealer?
Las amenazas que plantea una infección dependen de las funcionalidades del programa malicioso y del modus operandi de los ciberdelincuentes. TimbreStealer es un sofisticado ladrón de información. Las infecciones de este tipo pueden provocar graves problemas de privacidad, pérdidas financieras y robo de identidad.
¿Cuál es el objetivo del malware TimbreStealer?
El malware se utiliza principalmente con fines lucrativos. Sin embargo, las infecciones pueden estar motivadas por la búsqueda de diversión por parte de los atacantes, rencores personales, interrupción de procesos (por ejemplo, sitios web, servicios, empresas, etc.), hacktivismo y razones políticas/geopolíticas.
¿Cómo se infiltró el malware TimbreStealer en mi ordenador?
Se ha observado que TimbreStealer se propaga a través de campañas de spam por correo electrónico dirigidas a usuarios de México. Estas cartas utilizaban señuelos relacionados con facturas e impuestos. Sin embargo, otros métodos de distribución son posibles.
Por lo general, el malware se propaga a través de descargas no autorizadas (drive-by downloads), spam (p. ej., correos electrónicos, mensajes de texto, SMS, etc.), fuentes de descarga poco fiables (p. ej., sitios de alojamiento de archivos gratuitos y freeware, redes de intercambio P2P, etc.), contenidos pirateados, herramientas ilegales de activación de software ("cracks"), actualizaciones falsas, estafas en línea y publicidad maliciosa. Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles.
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner es capaz de detectar y eliminar casi todas las infecciones de malware conocidas. Cabe destacar que es crucial realizar un análisis completo del sistema, ya que los programas maliciosos de alto nivel suelen esconderse en las profundidades de los sistemas.
¡Excelente!
▼ Mostrar discusión.