Новости Mispadu расширяет зону деятельности: виртуальный захватчик уже у европейских ворот

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Банковский троян из Латинской Америки атакует Италию, Польшу и Швецию.


20i5vews6trd0zh34w28d8y58aypuu36.jpg


Банковский троян Mispadu, ранее известный атаками на Латинскую Америку и испаноязычных пользователей, теперь нацелен на жителей Италии, Польши и Швеции. Для просмотра ссылки Войди или Зарегистрируйся исследовательской компании Morphisec , в числе целей кампании — представители финансового сектора, сферы услуг, производства автомобилей, юридических фирм и коммерческих учреждений.

Несмотря на расширение географии атак, основной целью злоумышленников остаётся Мексика. «Кампания привела к краже тысяч учётных данных, начиная с апреля 2023 года. Злоумышленники используют эти данные для организации мошеннических фишинговых рассылок, представляющих значительную угрозу для получателей», — говорит исследователь безопасности Арнольд Осипов.

Впервые троян Mispadu был обнаружен в 2019 году во время атак на финансовые учреждения Бразилии и Мексики, когда использовались поддельные всплывающие окна для кражи учётных данных. Вредонос, написанный на Delphi, также способен делать снимки экрана и перехватывать нажатия клавиш.

Основным методом распространения трояна являются фишинговые рассылки и эксплуатация уязвимости обхода защиты Windows SmartScreen (CVE-2023-36025 с оценкой CVSS 8.8), что и позволяло заражать пользователей в Мексике.

Атаки Mispadu характеризуются многоэтапной схемой заражения, которая начинается с PDF -вложений в письмах на тему счетов-фактур. Открытие такого вложения приводит к переходу по вредоносной ссылке для загрузки полной версии счёта, что ведёт к загрузке ZIP-архива. Этот архив содержит либо установщик MSI, либо скрипт HTA, запускающий процесс загрузки и исполнения вредоносного кода через серию VBScript и AutoIT-скриптов после расшифровки и инъекции в память.

«Перед загрузкой и вызовом следующего этапа скрипт выполняет несколько проверок на виртуальную машину, включая запрос модели компьютера, производителя и версии BIOS, сравнивая их с данными, ассоциированными с виртуальными машинами», — отметил Осипов.

Кроме того, для атак Mispadu используются два различных C2 -сервера: один для получения промежуточных и окончательных этапов нагрузки, а другой для эксфильтрации украденных учётных данных более чем с 200 сервисов. По данным исследователей, на текущий момент на сервере для эксфильтрации хранится более 60 000 файлов.

Расширение сферы действия банковского трояна Mispadu подчёркивает важность глобальной бдительности и совместных усилий в борьбе с киберпреступностью. Современные технологии предоставляют злоумышленникам новые возможности для атак, требуя от пользователей и организаций постоянного обновления знаний в области кибербезопасности и применения эффективных инструментов защиты.
 
Источник новости
www.securitylab.ru

Похожие темы