Các tác nhân đe dọa đằng sau Trojan ngân hàng Mispadu đã trở thành những người mới nhất khai thác lỗ hổng bảo mật Windows SmartScreen hiện đã được vá để thỏa hiệp người dùng ở Mexico.
Các cuộc tấn công kéo theo một biến thể mới của phần mềm độc hại được quan sát lần đầu tiên vào năm 2019, Palo Alto Networks Unit 42 cho biết trong một báo cáo được công bố vào tuần trước.
Được tuyên truyền qua thư lừa đảo, Mispadu là một kẻ đánh cắp thông tin có trụ sở tại Delphi được biết là đặc biệt lây nhiễm cho các nạn nhân ở khu vực Mỹ Latinh (LATAM). Vào tháng 3/2023, Metabase Q tiết lộ rằng các chiến dịch spam của Mispadu đã thu thập không dưới 90.000 thông tin đăng nhập tài khoản ngân hàng kể từ tháng 8/2022.
Nó cũng là một phần của gia đình lớn hơn của phần mềm độc hại ngân hàng LATAM, bao gồm Grandoreiro, đã bị các cơ quan thực thi pháp luật Brazil triệt phá vào tuần trước.
Chuỗi lây nhiễm mới nhất được xác định bởi Đơn vị 42 sử dụng các tệp lối tắt internet giả mạo chứa trong các tệp lưu trữ ZIP không có thật tận dụng CVE-2023-36025 (điểm CVSS: 8.8), một lỗ hổng bỏ qua mức độ nghiêm trọng cao trong Windows SmartScreen. Nó đã được Microsoft giải quyết vào tháng 11/2023.
"Việc khai thác này xoay quanh việc tạo ra một tệp lối tắt internet được chế tạo đặc biệt (. URL) hoặc một siêu liên kết trỏ đến các tệp độc hại có thể vượt qua cảnh báo của SmartScreen", các nhà nghiên cứu bảo mật Daniela Shalev và Josh Grunzweig cho biết.
"Việc bỏ qua rất đơn giản và dựa trên một tham số tham chiếu đến chia sẻ mạng, thay vì URL. Các thủ công . Tệp URL chứa liên kết đến chia sẻ mạng của tác nhân đe dọa với tệp nhị phân độc hại."
Mispadu, sau khi được phóng, tiết lộ màu sắc thực sự của nó bằng cách nhắm mục tiêu có chọn lọc nạn nhân dựa trên vị trí địa lý của họ (tức là Châu Mỹ hoặc Tây Âu) và cấu hình hệ thống, sau đó tiến hành thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) để lọc dữ liệu tiếp theo.
Trong những tháng gần đây, lỗ hổng Windows đã bị khai thác trong tự nhiên bởi nhiều nhóm tội phạm mạng để cung cấp phần mềm độc hại DarkGate và Phemedrone Stealer để đánh cắp dữ liệu nhạy cảm từ các máy bị nhiễm và giảm tải trọng nhiều hơn.
Mexico cũng đã nổi lên như một mục tiêu hàng đầu cho một số chiến dịch trong năm qua đã được tìm thấy để tuyên truyền những kẻ đánh cắp thông tin và trojan truy cập từ xa như AllaKore RAT, AsyncRAT, Babylon RAT. Điều này tạo thành một nhóm có động cơ tài chính có tên TA558 đã tấn công các lĩnh vực khách sạn và du lịch trong khu vực LATAM kể từ năm 2018.
Sự phát triển này diễn ra khi Sekoia trình bày chi tiết hoạt động bên trong của DICELOADER (hay còn gọi là Lizar hoặc Tirion), một trình tải xuống tùy chỉnh được thử nghiệm theo thời gian được sử dụng bởi nhóm tội phạm điện tử Nga được theo dõi là FIN7. Phần mềm độc hại đã được quan sát thấy được gửi qua các ổ USB độc hại (hay còn gọi là BadUSB) trong quá khứ.
"DICELOADER bị loại bỏ bởi một tập lệnh PowerShell cùng với các phần mềm độc hại khác trong kho vũ khí của bộ xâm nhập như Carbanak RAT", công ty an ninh mạng Pháp cho biết, chỉ ra các phương pháp xáo trộn tinh vi của mình để che giấu địa chỉ IP C2 và thông tin liên lạc mạng.
Nó cũng theo sau việc AhnLab phát hiện ra hai chiến dịch khai thác tiền điện tử độc hại mới sử dụng các kho lưu trữ bị bẫy và hack trò chơi để triển khai phần mềm độc hại khai thác Monero và Zephyr.