Hoe TimbreStealer malware verwijderen uit het besturingssysteem
Geschreven door Tomas Meskauskas op
Wat voor soort malware is TimbreStealer?
TimbreStealer is schadelijke software die is ontworpen om informatie te stelen. Het werd voor het eerst verspreid via e-mailspamcampagnes in de herfst van 2023 en wordt nog steeds actief verspreid in februari 2024. Deze malware werd uitsluitend gebruikt voor gebruikers in Mexico.
Hoewel niet definitief, zijn er aanwijzingen dat de dreigingsactoren achter TimbreStealer banden hebben met campagnes die de Mispadu banking trojan verspreiden. Het lijkt er echter op dat deze cybercriminelen Mispadu niet langer gebruiken.
TimbreStealer malware overzicht
TimbreStealer is een geraffineerde malware die sterk versluierd is. Bekende aanvallen maakten gebruik van op maat gemaakte loaders om TimbreStealer in systemen te infiltreren. Deze stealer controleert of hij wordt uitgevoerd op een virtuele machine of in een sandbox-omgeving. Het heeft anti-detectie en anti-debugging mogelijkheden.
TimbreStealer zoekt ook naar bestanden die gerelateerd zijn aan antivirussoftware. Deze malware is modulair en maakt gebruik van meerdere modules en submodules. Het programma kan een lokdocument weergeven om de aandacht van slachtoffers af te leiden van het kwaadaardige gedrag.
Ten tijde van het onderzoek, na de infiltratie, begon TimbreStealer met het verzamelen van relevante apparaatgegevens, waaronder gedetailleerde geolocatie-informatie. Om dit uit te breiden, controleerde het of de taal van het besturingssysteem niet Russisch was en of de tijdzone overeenkwam met Mexico.
TimbreStealer kan gegevens extraheren en exfiltreren van Google Chrome, Mozilla Firefox en Microsoft Edge-browsers. De malware zoekt voornamelijk naar browsergeschiedenissen en opgeslagen aanmeldingsgegevens (gebruikersnamen/wachtwoorden).
Het programma is gericht op het verkrijgen van informatie met betrekking tot de OneDrive en Dropbox bestandshostingdiensten, evenals de Mozilla Thunderbird e-mailclient. TimbreStealer controleert op interessante URL's, waaronder de eerder genoemde cloudopslagdiensten, Amazon, Apple, Facebook, Google, LinkedIn, PayPal, X (beter bekend onder zijn vroegere naam - Twitter) en anderen.
De stealer zoekt naar software voor toegang op afstand, maar het doel hierachter is op dit moment onduidelijk. Sommige schadelijke programma's kunnen zichzelf verspreiden naar op afstand aangesloten apparaten, wat een toekomstig doel van deze malware zou kunnen zijn.
TimbreStealer doorzoekt ook tal van systeem en gebruikersmappen, waaronder het bureaublad, documenten, downloads en andere. De stealer zoekt verschillende bestanden, waaronder back-ups, databases, internetbeveiligingscertificaten, tekstdocumenten, spreadsheets, enzovoort. Doelformaten zijn .bak, .cer, .cmp, .dat, .db, .dbf, .fbk, .fdb, .mdf, .ods, .txt, .xls, .xlsx, .xml en .zuhpgmcf. De laatste - ".zuhpgmcf" - is een onbekend bestandsformaat; het kunnen bestanden zijn die door TimbreStealer zelf zijn gemaakt.
Het is opmerkelijk dat ontwikkelaars van malware hun software en methodologieën vaak verbeteren. Daarom kunnen mogelijke toekomstige versies van TimbreStealer extra/andere functies en mogelijkheden hebben.
Samengevat kan de aanwezigheid van software zoals TimbreStealer op apparaten leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
| Naam | TimbreStealer virus |
| Type bedreiging | Trojaans paard, dief, wachtwoordstelende virus, bankmalware, spyware. |
| Namen van detectie | Avast (Win32:Evo-gen [Trj]), Combo Cleaner (Trojan.GenericKD.71783999), ESET-NOD32 (Een variant van Win32/Kryptik.HVWT), Kaspersky (Trojan.Win32.Agent.xbltal), Microsoft (PWS:Win32/Zbot!ml), Volledige lijst met detecties (VirusTotal) |
| Symptomen | Trojaanse paarden zijn ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en zich stil te houden. Er zijn dus geen specifieke symptomen zichtbaar op een geïnfecteerde machine. |
| Distributiemethoden | Spam e-mails, kwaadaardige online advertenties, social engineering, software 'cracks'. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet. |
| Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Voorbeelden van malware van het steelertype
We hebben talloze malwarevoorbeelden onderzocht; XSSLite, 44Caliber, Spock, en VietCredCare zijn slechts enkele van onze nieuwste artikelen over stealers.
Kwaadaardige software is niet beperkt tot zijn classificatie en gegevensdiefstal komt voor bij verschillende soorten. Het maakt echter niet uit of malware zich op gegevens richt of welke informatie het zoekt - de aanwezigheid ervan op een systeem bedreigt de integriteit van het apparaat en de veiligheid van de gebruiker. Daarom moeten alle bedreigingen onmiddellijk na ontdekking worden geëlimineerd.
Hoe is TimbreStealer in mijn computer geïnfiltreerd?
Zoals vermeld in de inleiding, is TimbreStealer sinds de herfst van 2023 verspreid via spamcampagnes. De kwaadaardige e-mails gebruikten generieke factuurthema's en e-mails die betrekking hadden op de "Comprobante Fiscal Digital por Internet" (CDFI) - de standaard elektronische factuur voor belastingaangiften in Mexico.
De e-mails hadden onderwerpen als "Recibió una Factura. Folio Fiscal: 050e4105-799f-4d17-a55d-60d1f9275288", "Recibió un Comprobante Fiscal Digital (CFDI). Folio Fiscal: fcd7bf2f-e800-4ab3-b2b8-e47eb6bbff8c", enz. Deze brieven bevatten links die gebruikers doorstuurden naar kwaadaardige websites die bedoeld waren om hen te misleiden tot het downloaden van een besmettelijk ZIP-archief.
De sites maakten gebruik van geo-blokkeringstechnieken om alleen gebruikers uit Mexico toe te laten; bezoekers van buiten de regio kregen in plaats daarvan een leeg PDF-document te zien. De bekende virulente archieven kregen de namen "CFDI_930209.zip" en "FACTURA_560208.zip" (andere bestandsnamen zijn niet onwaarschijnlijk). Zodra het slachtoffer de gedownloade ZIP opende en op het .URL-bestand klikte, werd de infectieketen van TimbreStealer gestart.
Het is echter relevant om te vermelden dat andere lokmiddelen of distributiemethoden mogelijk zijn. Kwaadaardige software wordt vaak vermomd als of gebundeld met gewone programma-/mediabestanden. Ze zijn er in verschillende formaten, bijv. archieven (ZIP, RAR, enz.), uitvoerbare bestanden (.exe, .run, enz.), documenten (PDF, Microsoft Office, Microsoft OneNote, enz.), JavaScript, enz.
De meest gebruikte verspreidingstechnieken zijn: schadelijke bijlagen/links in spam (bijv. e-mails, DM's/PM's, berichten op sociale media, enz.), drive-by (sluipende en bedrieglijke) downloads, online zwendel, malvertising, onbetrouwbare downloadbronnen (bijv. freeware en websites van derden, Peer-to-Peer sharing netwerken, enz.), illegale programma's/media, illegale softwareactivering ("cracking") tools en nep-updates.
Sommige schadelijke programma's kunnen zichzelf zelfs verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).
Hoe voorkomt u de installatie van malware?
Het is essentieel om inkomende e-mails en andere berichten met de nodige voorzichtigheid te behandelen. Bijlagen of links in dubieuze/irrelevante e-mails mogen niet worden geopend, omdat ze kwaadaardig kunnen zijn. We raden aan voorzichtig te zijn tijdens het browsen omdat frauduleuze en kwaadaardige online inhoud meestal legitiem en onschuldig lijkt.
Bovendien moeten alle downloads afkomstig zijn van officiële en geverifieerde bronnen. Een andere aanbeveling is om programma's te activeren en bij te werken met functies/tools van echte ontwikkelaars, omdat die van derden malware kunnen bevatten.
Het is van het grootste belang voor de veiligheid van apparaten en gebruikers om een goede antivirus te installeren en up-to-date te houden. Beveiligingssoftware moet worden gebruikt om regelmatig systeemscans uit te voeren en bedreigingen en problemen te verwijderen. Als u denkt dat uw computer al is geïnfecteerd, raden we u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Screenshot van een spam e-mail die de TimbreStealer stealer verspreidt (beeldbron - Cisco Talos):
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is TimbreStealer?
- STAP 1. Handmatige verwijdering van TimbreStealer malware.
- STAP 2. Controleer of je computer schoon is.
Hoe verwijder ik malware handmatig?
Het handmatig verwijderen van malware is een ingewikkelde taak - meestal is het het beste om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat wordt uitgevoerd op de computer van een gebruiker:
Als je de lijst met programma's die op je computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet je doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont automatisch opstartende toepassingen, register- en bestandssysteemlocaties:
Start je computer opnieuw op in Veilige modus:
Gebruikers van Windows XP en Windows 7: Start je computer op in Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van de computer meerdere keren op de F8-toets op je toetsenbord totdat je het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerken uit de lijst.
Video die laat zien hoe je Windows 7 start in "Veilige modus met netwerk":
Windows 8 gebruikers: Start Windows 8 op in Veilige modus met netwerk - Ga naar het Windows 8 Startscherm, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Je computer wordt nu opnieuw opgestart in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Je pc zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op F5 om op te starten in Veilige modus met netwerk.
Video die laat zien hoe je Windows 8 opstart in "Veilige modus met netwerk":
Windows 10-gebruikers: Klik op het Windows-logo en selecteer het Power-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl je de toets "Shift" op je toetsenbord ingedrukt houdt. Klik in het venster "Een optie kiezen" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu "Geavanceerde opties" "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet je op de toets "F5" op je toetsenbord klikken. Hierdoor wordt je besturingssysteem opnieuw opgestart in de veilige modus met netwerken.
Video die laat zien hoe je Windows 10 start in "Veilige modus met netwerk":
Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-toepassing op "Options" (Opties) bovenaan en schakel de opties "Hide Empty Locations" (Lege locaties verbergen) en "Hide Windows Entries" (Windows items verbergen) uit. Klik na deze procedure op het pictogram "Vernieuwen".
Controleer de lijst van de Autoruns-toepassing en zoek het malwarebestand dat je wilt verwijderen.
Je moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".
Nadat u de malware hebt verwijderd via de toepassing Autoruns (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende keer opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als je de bestandsnaam van de malware vindt, verwijder deze dan.
Start je computer opnieuw op in de normale modus. Als je deze stappen volgt, zou je alle malware van je computer moeten verwijderen. Houd er rekening mee dat voor het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist zijn. Als je deze vaardigheden niet hebt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om een infectie te voorkomen dan om malware later te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates van het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan uw computer te scannen met Combo Cleaner.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met TimbreStealer malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Voor het verwijderen van malware is formatteren zelden nodig.
Wat zijn de grootste problemen die TimbreStealer malware kan veroorzaken?
De bedreigingen die een infectie met zich meebrengt, hangen af van de functionaliteiten van het kwaadaardige programma en de modus operandi van de cybercriminelen. TimbreStealer is een geavanceerde informatiediefstal. Dit soort infecties kan leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
Wat is het doel van TimbreStealer malware?
Malware wordt voornamelijk gebruikt om winst te maken. Infecties kunnen echter worden gemotiveerd door aanvallers die uit zijn op amusement, persoonlijke wrok, verstoring van processen (bijv. websites, diensten, bedrijven, enz.), hacktivisme en politieke/geopolitieke redenen.
Hoe is TimbreStealer malware mijn computer binnengedrongen?
TimbreStealer werd verspreid via e-mailspamcampagnes gericht op gebruikers in Mexico. Deze brieven maakten gebruik van factuur- en belastinggerelateerde lokkertjes. Er zijn echter ook andere distributiemethoden mogelijk.
Over het algemeen wordt malware verspreid via drive-by downloads, spam (bijv. e-mails, PM's/DM's, sms'jes, enz.), onbetrouwbare downloadbronnen (bijv. freeware en gratis bestandshostingsites, P2P-uitwisselingsnetwerken, enz.), illegale inhoud, illegale softwareactiveringstools ("cracks"), nepupdates, online oplichting en malvertising. Bovendien kunnen sommige schadelijke programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan bijna alle bekende malware-infecties detecteren en verwijderen. Het moet worden benadrukt dat het uitvoeren van een volledige systeemscan cruciaal is, omdat high-end kwaadaardige programma's zich meestal diep in systemen verbergen.
Uitmuntend!
▼ Toon discussie