Le cheval de Troie bancaire Mispadu fait une nouvelle fois la une des journaux, tirer parti une faille de contournement de sécurité Windows SmartScreen désormais corrigée pour compromettre les utilisateurs au Mexique. Unité des réseaux de Palo Alto 42, dans un récent rapport, a divulgué les détails d'une nouvelle variante du malware, identifié pour la première fois dans 2019, illustrant son adaptabilité et sa persévérance.
E-mails de phishing et propagation des erreurs CVE-2023-36025
Le vecteur d'attaque implique des e-mails de phishing, une méthode couramment utilisée par les acteurs malveillants pour infiltrer les systèmes. Mispadu, un voleur d'informations basé sur Delphi, a la réputation notoire de cibler spécifiquement les victimes en Amérique latine (LATAM) Région. En mars 2023, Metabase Q a révélé des statistiques alarmantes, déclarant que les campagnes de spam de Mispadu avaient récolté plus de 90,000 identifiants de compte bancaire depuis août 2022.
Chaîne d'infection
La chaîne d’infection identifiée par l’Unité 42 révèle une approche sophistiquée, utilisation de fichiers de raccourci Internet malveillants dans des fichiers d'archive ZIP trompeurs. Ces fichiers exploitent CVE-2023-36025, une faille de contournement de haute gravité dans Windows SmartScreen, auquel Microsoft a répondu en novembre 2023. La faille permet aux auteurs de menaces de créer des fichiers de raccourcis Internet ou des hyperliens spécialement conçus qui peuvent contourner les avertissements SmartScreen., révélant un lien vers un binaire malveillant hébergé sur le partage réseau d'un acteur menaçant.
Mispadu, lors de l'activation, cible stratégiquement les victimes en fonction de leur emplacement géographique et des configurations du système, établir le contact avec un commandement et un contrôle (C2) serveur pour l'exfiltration ultérieure des données. Notamment, ce cheval de Troie bancaire fait partie de la grande famille des logiciels malveillants bancaires LATAM, partager des connexions avec Grandoreiro, récemment démantelé par les forces de l'ordre brésiliennes.
Mexique, Ces derniers mois, est devenu une cible privilégiée pour diverses campagnes de cybercriminalité, y compris ceux qui propagent des voleurs d'informations et des chevaux de Troie d'accès à distance. Parmi eux, on peut citer le groupe TA558, motivé financièrement., connu pour cibler les secteurs de l'hôtellerie et du voyage dans la région LATAM depuis 2018.
Précédemment, le cheval de Troie Mispadu cible le Brésil ainsi que d'autres pays d'Amérique latine, une région souvent privilégiée par les cybercriminels motivés par l'argent.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: