De banktrojan Mispadu heeft opnieuw de krantenkoppen gehaald, benutten een nu gepatchte beveiligingsfout in Windows SmartScreen om gebruikers in Mexico in gevaar te brengen. Palo Alto Netwerkeenheid 42, in een recent rapport, details onthuld van een nieuwe variant van de malware, voor het eerst geïdentificeerd in 2019, illustreert zijn aanpassingsvermogen en doorzettingsvermogen.
Phishing-e-mails en CVE-2023-36025 Verspreiding van Mispadu
De aanvalsvector omvat phishing-e-mails, een veelgebruikte methode die door bedreigingsactoren wordt gebruikt om systemen te infiltreren. Mispadu, een op Delphi gebaseerde informatiedief, heeft een beruchte reputatie omdat het zich specifiek richt op slachtoffers in Latijns-Amerika (LATAM) regio. In maart 2023, Metabase Q onthulde alarmerende statistieken, waarin stond dat Mispadu-spamcampagnes waren overwonnen 90,000 bankrekeninggegevens sinds augustus 2022.
Infectieketen
De infectieketen geïdentificeerd door Unit 42 onthult een verfijnde aanpak, het gebruik van frauduleuze internetsnelkoppelingsbestanden in misleidende ZIP-archiefbestanden. Deze bestanden maken misbruik van CVE-2023-36025, een zeer ernstige bypass-fout in Windows SmartScreen, die Microsoft in november heeft aangepakt 2023. Door deze fout kunnen bedreigingsactoren speciaal vervaardigde internetsnelkoppelingsbestanden of hyperlinks maken die SmartScreen-waarschuwingen kunnen omzeilen, het onthullen van een link naar een kwaadaardig binair bestand dat wordt gehost op de netwerkshare van een bedreigingsacteur.
Mispadu, bij activering, richt zich strategisch op slachtoffers op basis van geografische locatie en systeemconfiguraties, contact leggen met een command-and-control (C2) server voor daaropvolgende gegevensexfiltratie. Opmerkelijk, deze banktrojan maakt deel uit van de grotere familie van LATAM-bankmalware, verbindingen delen met Grandoreiro, onlangs ontmanteld door de Braziliaanse wetshandhavingsautoriteiten.
Mexico, in de afgelopen maanden, is een belangrijk doelwit geworden voor verschillende cybercriminaliteitscampagnes, inclusief degenen die informatiestelers en trojans voor externe toegang verspreiden. Opvallend onder hen is de financieel gemotiveerde groep TA558, staat erom bekend dat het zich sindsdien richt op de horeca- en reissector in de LATAM-regio 2018.
Eerder, de Mispadu-trojan heeft zich zowel op Brazilië als op andere landen in Latijns-Amerika gericht, een regio die vaak de voorkeur geniet van financieel gemotiveerde cybercriminelen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: