Il trojan bancario Mispadu ha fatto ancora una volta notizia, sfruttando un difetto di bypass della sicurezza di Windows SmartScreen ora corretto per compromettere gli utenti in Messico. Unità Reti di Palo Alto 42, in un recente rapporto, hanno rivelato i dettagli di una nuova variante del malware, identificato per la prima volta in 2019, illustrandone l’adattabilità e la persistenza.
Email di phishing e diffusione di CVE-2023-36025 Mispadu
Il vettore di attacco prevede e-mail di phishing, un metodo comune utilizzato dagli autori delle minacce per infiltrarsi nei sistemi. Mispadu, un ladro di informazioni basato su Delphi, ha una nota reputazione per aver preso di mira specificamente le vittime in America Latina (LATAM) regione. A marzo 2023, Metabase Q ha rivelato statistiche allarmanti, affermando che le campagne di spam di Mispadu avevano avuto successo 90,000 credenziali del conto bancario da agosto 2022.
Catena di infezioni
La catena di infezione individuata dall'Unità 42 rivela un approccio sofisticato, utilizzando file di collegamento Internet non autorizzati all'interno di file di archivio ZIP ingannevoli. Questi file sfruttano CVE-2023-36025, un difetto di bypass di elevata gravità in Windows SmartScreen, che Microsoft ha affrontato a novembre 2023. La falla consente agli autori delle minacce di creare file di collegamento Internet o collegamenti ipertestuali appositamente predisposti in grado di ignorare gli avvisi di SmartScreen, rivelando un collegamento a un file binario dannoso ospitato sulla condivisione di rete di un attore della minaccia.
Mispadu, al momento dell'attivazione, prende di mira strategicamente le vittime in base alla posizione geografica e alle configurazioni del sistema, stabilire un contatto con un comando e controllo (C2) server per la successiva esfiltrazione dei dati. In particolare, questo trojan bancario fa parte della più ampia famiglia di malware bancari LATAM, condividere collegamenti con Grandereiro, recentemente smantellato dalle forze dell'ordine brasiliane.
Messico, negli ultimi mesi, è emerso come obiettivo primario di varie campagne di criminalità informatica, compresi quelli che propagano ladri di informazioni e trojan di accesso remoto. Tra questi spicca il gruppo TA558 motivato finanziariamente, noto da allora per aver preso di mira i settori dell'ospitalità e dei viaggi nella regione LATAM 2018.
Precedentemente, il trojan Mispadu ha preso di mira il Brasile e altri paesi dell'America Latina, una regione spesso preferita dai criminali informatici motivati finanziariamente.