De bedreigingsactoren achter de Mispadu-banktrojan zijn de laatsten die een inmiddels gepatchte Windows SmartScreen-beveiligingsfout hebben misbruikt om gebruikers in Mexico in gevaar te brengen.
De aanvallen omvatten een nieuwe variant van de malware die voor het eerst werd waargenomen in 2019, aldus Palo Alto Networks Unit 42 in een vorige week gepubliceerd rapport.
Mispadu, verspreid via phishing-mails, is een op Delphi gebaseerde informatiediefstaler waarvan bekend is dat deze specifiek slachtoffers in de Latijns-Amerikaanse regio (LATAM) infecteert. In maart 2023 onthulde Metabase Q dat Mispadu-spamcampagnes sinds augustus 2022 niet minder dan 90.000 bankrekeninggegevens hebben verzameld.
Het maakt ook deel uit van de grotere familie van LATAM-bankmalware, waaronder Grandoreiro, die vorige week door de Braziliaanse wetshandhavingsautoriteiten werd ontmanteld.
De nieuwste infectieketen die door Unit 42 is geïdentificeerd, maakt gebruik van frauduleuze internetsnelkoppelingsbestanden in valse ZIP-archiefbestanden die gebruik maken van CVE-2023-36025 (CVSS-score: 8,8), een zeer ernstige bypass-fout in Windows SmartScreen. Het werd in november 2023 door Microsoft aangepakt.
“Deze exploit draait om het maken van een speciaal vervaardigd internetsnelkoppelingsbestand (.URL) of een hyperlink die verwijst naar kwaadaardige bestanden die de waarschuwingen van SmartScreen kunnen omzeilen”, aldus beveiligingsonderzoekers Daniela Shalev en Josh Grunzweig.
“De omzeiling is eenvoudig en is gebaseerd op een parameter die verwijst naar een netwerkshare, in plaats van naar een URL. Het vervaardigde .URL-bestand bevat een link naar de netwerkshare van een bedreigingsacteur met een kwaadaardig binair bestand.”
Eenmaal gelanceerd onthult Mispadu zijn ware aard door zich selectief te richten op slachtoffers op basis van hun geografische locatie (dat wil zeggen Amerika of West-Europa) en systeemconfiguraties, en gaat vervolgens verder met het tot stand brengen van contact met een command-and-control (C2)-server voor vervolgacties. over data-exfiltratie.
De afgelopen maanden is de Windows-fout door meerdere cybercriminaliteitsgroepen misbruikt om de afgelopen maanden DarkGate- en Phemedrone Stealer-malware te verspreiden.
Mexico is het afgelopen jaar ook een topdoelwit geworden voor verschillende campagnes waarvan is vastgesteld dat ze informatiestelers en trojans voor externe toegang, zoals AllaKore RAT, AsyncRAT en Babylon RAT, verspreiden. Dit vormt een financieel gemotiveerde groep genaamd TA558 die sinds 2018 de horeca- en reissector in de LATAM-regio heeft aangevallen.
De ontwikkeling komt terwijl Sekoia de interne werking van DICELOADER (ook bekend als Lizar of Tirion) gedetailleerd heeft beschreven, een beproefde aangepaste downloader die wordt gebruikt door de Russische e-crime-groep en wordt bijgehouden als FIN7. De malware is in het verleden waargenomen via kwaadaardige USB-drives (ook bekend als BadUSB).
“DICELOADER wordt gedropt door een PowerShell-script samen met andere malware uit het arsenaal van de inbraakset, zoals Carbanak RAT”, zei het Franse cyberbeveiligingsbedrijf, terwijl hij zijn geavanceerde verduisteringsmethoden aanhaalde om de C2 IP-adressen en de netwerkcommunicatie te verbergen.
Het volgt ook op de ontdekking door AhnLab van twee nieuwe kwaadaardige campagnes voor het delven van cryptocurrency, waarbij gebruik wordt gemaakt van boobytraps-archieven en game-hacks om miner-malware in te zetten die Monero en Zephyr minen.
