Злоумышленники, стоящие за банковским трояном Mispadu, стали последними, кто использует исправленную уязвимость обхода безопасности Windows SmartScreen для компрометации пользователей в Мексике.
Атаки связаны с новым вариантом вредоносного ПО, которое впервые было замечено в 2019 году, сообщило 42-е подразделение Palo Alto Networks в отчете, опубликованном на прошлой неделе.
Распространяемый через фишинговые письма, Mispadu - это программа для кражи информации на Delphi, которая, как известно, специально заражает жертв в регионе Латинской Америки (LATAM). В марте 2023 года Metabase Q обнаружила, что в ходе спам-кампаний Mispadu с августа 2022 года было собрано не менее 90 000 учетных данных банковских счетов.
Он также является частью более крупного семейства банковских вредоносных программ LATAM, включая Grandoreiro, который был ликвидирован бразильскими правоохранительными органами на прошлой неделе.
Последняя цепочка заражений, выявленная подразделением 42, использует поддельные файлы интернет-ярлыков, содержащиеся в поддельных файлах ZIP-архива, которые используют CVE-2023-36025 (оценка CVSS: 8,8), уязвимость обхода Windows SmartScreen высокой степени серьезности. Microsoft устранила ее в ноябре 2023 года.
"Этот эксплойт основан на создании специально созданного файла быстрого доступа в Интернете (.URL) или гиперссылки, указывающей на вредоносные файлы, которые могут обходить предупреждения SmartScreen", - сказали исследователи безопасности Даниэла Шалев и Джош Грунцвейг.
"Обход прост и основан на параметре, который ссылается на сетевой ресурс, а не на URL. Созданный файл .URL содержит ссылку на сетевой ресурс субъекта угрозы с вредоносным двоичным файлом".
После запуска Mispadu раскрывает свое истинное лицо, выборочно нацеливаясь на жертв в зависимости от их географического местоположения (например, Америка или Западная Европа) и конфигурации системы, а затем устанавливает контакт с сервером командования и контроля (C2) для последующей передачи данных.
В последние месяцы уязвимость Windows широко использовалась многочисленными группами киберпреступников для распространения вредоносных программ DarkGate и Phemedrone Stealer для кражи конфиденциальных данных с зараженных компьютеров и сброса дополнительных полезных данных.
За последний год Мексика также стала главной целью нескольких кампаний, которые, как было установлено, распространяли похитителей информации и трояны удаленного доступа, такие как AllaKore RAT, AsyncRAT, Babylon RAT. Это финансово мотивированная группа, получившая название TA558, которая с 2018 года атакует сектор гостиничного бизнеса и туризма в регионе ЛАТАМ.
Разработка началась после того, как Sekoia подробно описала внутреннюю работу DICELOADER (он же Lizar или Tirion), проверенного временем пользовательского загрузчика, используемого российской электронной преступной группировкой, отслеживаемой как FIN7. В прошлом было замечено, что вредоносное ПО доставлялось через вредоносные USB-накопители (также известные как BadUSB).
"DICELOADER удаляется скриптом PowerShell вместе с другими вредоносными программами из арсенала intrusion set, такими как Carbanak RAT", - заявила французская фирма по кибербезопасности, используя свои сложные методы обфускации для сокрытия IP-адресов C2 и сетевых коммуникаций.
Это также следует за обнаружением AhnLab двух новых вредоносных кампаний по добыче криптовалюты, которые используют заминированные архивы и взломы игр для развертывания вредоносных программ-майнеров, добывающих Monero и Zephyr.
Атаки связаны с новым вариантом вредоносного ПО, которое впервые было замечено в 2019 году, сообщило 42-е подразделение Palo Alto Networks в отчете, опубликованном на прошлой неделе.
Распространяемый через фишинговые письма, Mispadu - это программа для кражи информации на Delphi, которая, как известно, специально заражает жертв в регионе Латинской Америки (LATAM). В марте 2023 года Metabase Q обнаружила, что в ходе спам-кампаний Mispadu с августа 2022 года было собрано не менее 90 000 учетных данных банковских счетов.
Он также является частью более крупного семейства банковских вредоносных программ LATAM, включая Grandoreiro, который был ликвидирован бразильскими правоохранительными органами на прошлой неделе.
Последняя цепочка заражений, выявленная подразделением 42, использует поддельные файлы интернет-ярлыков, содержащиеся в поддельных файлах ZIP-архива, которые используют CVE-2023-36025 (оценка CVSS: 8,8), уязвимость обхода Windows SmartScreen высокой степени серьезности. Microsoft устранила ее в ноябре 2023 года.
"Этот эксплойт основан на создании специально созданного файла быстрого доступа в Интернете (.URL) или гиперссылки, указывающей на вредоносные файлы, которые могут обходить предупреждения SmartScreen", - сказали исследователи безопасности Даниэла Шалев и Джош Грунцвейг.
"Обход прост и основан на параметре, который ссылается на сетевой ресурс, а не на URL. Созданный файл .URL содержит ссылку на сетевой ресурс субъекта угрозы с вредоносным двоичным файлом".
После запуска Mispadu раскрывает свое истинное лицо, выборочно нацеливаясь на жертв в зависимости от их географического местоположения (например, Америка или Западная Европа) и конфигурации системы, а затем устанавливает контакт с сервером командования и контроля (C2) для последующей передачи данных.
В последние месяцы уязвимость Windows широко использовалась многочисленными группами киберпреступников для распространения вредоносных программ DarkGate и Phemedrone Stealer для кражи конфиденциальных данных с зараженных компьютеров и сброса дополнительных полезных данных.
За последний год Мексика также стала главной целью нескольких кампаний, которые, как было установлено, распространяли похитителей информации и трояны удаленного доступа, такие как AllaKore RAT, AsyncRAT, Babylon RAT. Это финансово мотивированная группа, получившая название TA558, которая с 2018 года атакует сектор гостиничного бизнеса и туризма в регионе ЛАТАМ.
Разработка началась после того, как Sekoia подробно описала внутреннюю работу DICELOADER (он же Lizar или Tirion), проверенного временем пользовательского загрузчика, используемого российской электронной преступной группировкой, отслеживаемой как FIN7. В прошлом было замечено, что вредоносное ПО доставлялось через вредоносные USB-накопители (также известные как BadUSB).
"DICELOADER удаляется скриптом PowerShell вместе с другими вредоносными программами из арсенала intrusion set, такими как Carbanak RAT", - заявила французская фирма по кибербезопасности, используя свои сложные методы обфускации для сокрытия IP-адресов C2 и сетевых коммуникаций.
Это также следует за обнаружением AhnLab двух новых вредоносных кампаний по добыче криптовалюты, которые используют заминированные архивы и взломы игр для развертывания вредоносных программ-майнеров, добывающих Monero и Zephyr.
