05.04.2024 | Mispadu расширяет зону деятельности: виртуальный захватчик уже у европейских ворот |
Банковский троян Mispadu, ранее известный атаками на Латинскую Америку и испаноязычных пользователей, теперь нацелен на жителей Италии, Польши и Швеции. По данным исследовательской компании Morphisec , в числе целей кампании — представители финансового сектора, сферы услуг, производства автомобилей, юридических фирм и коммерческих учреждений. Несмотря на расширение географии атак, основной целью злоумышленников остаётся Мексика. «Кампания привела к краже тысяч учётных данных, начиная с апреля 2023 года. Злоумышленники используют эти данные для организации мошеннических фишинговых рассылок, представляющих значительную угрозу для получателей», — говорит исследователь безопасности Арнольд Осипов. Впервые троян Mispadu был обнаружен в 2019 году во время атак на финансовые учреждения Бразилии и Мексики, когда использовались поддельные всплывающие окна для кражи учётных данных. Вредонос, написанный на Delphi, также способен делать снимки экрана и перехватывать нажатия клавиш. Основным методом распространения трояна являются фишинговые рассылки и эксплуатация уязвимости обхода защиты Windows SmartScreen ( CVE-2023-36025 с оценкой CVSS 8.8), что и позволяло заражать пользователей в Мексике. Атаки Mispadu характеризуются многоэтапной схемой заражения, которая начинается с PDF -вложений в письмах на тему счетов-фактур. Открытие такого вложения приводит к переходу по вредоносной ссылке для загрузки «полной версии счёта», что ведёт к скачиванию специального ZIP-архива. Этот архив содержит либо MSI-установщик, либо HTA-скрипт, запускающий процесс загрузки и исполнения вредоносного кода через серию VBScript и AutoIT-скриптов после расшифровки и инъекции в память. «Перед загрузкой и вызовом следующего этапа скрипт выполняет несколько проверок на виртуальную машину, включая запрос модели компьютера, производителя и версии BIOS, для сравнения с данными, ассоциированными с виртуальными машинами», — отметил Осипов. Кроме того, для атак Mispadu используются два различных C2 -сервера: один для получения промежуточных и окончательных этапов нагрузки, а другой для эксфильтрации украденных учётных данных более чем с 200 сервисов. По данным исследователей, на текущий момент на сервере для эксфильтрации хранится более 60 000 файлов. Расширение сферы действия банковского трояна Mispadu подчёркивает важность глобальной бдительности и совместных усилий в борьбе с киберпреступностью. Современные технологии предоставляют злоумышленникам новые возможности для атак, требуя от пользователей и организаций постоянного обновления знаний в области кибербезопасности и применения эффективных инструментов защиты. |
Проверить безопасность сайта