Το Mispadu trojan έχει επεκταθεί εκτός της Λατινικής Αμερικής και των άλλων ισπανόφωνων χωρών, στοχεύοντας τώρα χρήστες στην Ιταλία, την Πολωνία και τη Σουηδία.
Οι στόχοι της επίμονης εκστρατείας περιλαμβάνουν οντότητες που δραστηριοποιούνται στους τομείς της χρηματοδότησης, των υπηρεσιών, της κατασκευής μηχανοκίνητων οχημάτων, των δικηγορικών γραφείων και των εμπορικών εγκαταστάσεων, σύμφωνα με τη Morphisec.
“Παρά τη μεγάλη γεωγραφική του έκταση, το Μεξικό παραμένει ένας κύριος στόχος”, δήλωσε ο ερευνητής ασφάλειας Arnold Osipov σε μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
Διαβάστε περισσότερα: Mispadu banking trojan: Εκμεταλλεύεται ευπάθεια του Windows SmartScreen
Η εκστρατεία είχε ως αποτέλεσμα την κλοπή χιλιάδων διαπιστευτηρίων, με αρχεία που χρονολογούνται από τον Απρίλιο του 2023. Ο παράγοντας απειλών εκμεταλλεύεται αυτά τα διαπιστευτήρια για να στήσει κακόβουλα phishing μηνύματα, αποτελώντας σοβαρή απειλή για τους παραλήπτες.
Το Mispadu trojan, γνωστό επίσης ως URSA, εμφανίστηκε το 2019 καθώς παρατηρήθηκε ότι πραγματοποιούσε δραστηριότητες κλοπής διαπιστευτηρίων με στόχο χρηματοοικονομικά ιδρύματα στη Βραζιλία και το Μεξικό. Το Delphi-based κακόβουλο λογισμικό είναι επίσης ικανό να κάνει λήψη στιγμιότυπων οθόνης και να καταγράφει πατήματα πληκτρολογίου.
Δίκτυα επιθέσεων έχουν εκμεταλλευτεί πρόσφατα ένα αδυναμίας ασφαλείας στο Windows SmartScreen που έχει διορθωθεί πλέον (CVE-2023-36025, βαθμολογία CVSS: 8,8) για να επιτεθούν σε χρήστες στο Μεξικό.
Η ακολουθία μόλυνσης που αναλύεται από το Morphisec είναι μια διαδικασία πολλαπλών σταδίων που ξεκινά με ένα συνημμένο PDF σε μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα τιμολογίου. Όταν ανοίγεται το PDF, ζητείται από τον παραλήπτη να κάνει κλικ σε έναν κακόβουλο σύνδεσμο για να κατεβάσει το “τιμολόγιο”, με αποτέλεσμα τη λήψη ενός αρχείου ZIP.
Το αρχείο ZIP συνοδεύεται είτε από ένα πρόγραμμα εγκατάστασης MSI είτε από μια δέσμη ενεργειών HTA που υπεύθυνη είναι για την ανάκτηση και εκτέλεση ενός συνόλου ενεργειών Visual Basic (VBScript) από έναν απομακρυσμένο διακομιστή. Ο διακομιστής, αφού κατεβάσει ένα δεύτερο VBScript, τελικά κατεβάζει και εκκινεί το ωφέλιμο φορτίο Mispadu, χρησιμοποιώντας ένα script AutoIT.
“Αυτό το δεύτερο σενάριο είναι ασαφές και χρησιμοποιεί τον ίδιο αλγόριθμο αποκρυπτογράφησης που αναφέρεται στο DLL”, σύμφωνα με τον Osipov.
“Πριν προχωρήσει στη λήψη και την εκτέλεση του επόμενου σταδίου, το σενάριο πραγματοποιεί πολλαπλούς ελέγχους Anti-VM. Αυτοί οι έλεγχοι περιλαμβάνουν το μοντέλο, τον κατασκευαστή και την έκδοση του BIOS του υπολογιστή και συγκρίνονται με αυτά που σχετίζονται με εικονικές μηχανές..”
Οι επιθέσεις του Mispadu χαρακτηρίζονται και από τη χρήση δύο ξεχωριστών διακομιστών εντολών και ελέγχου (C2). Ένας χρησιμοποιείται για την ανάκτηση των ωφέλιμων φορτίων στα στάδια μεσοπρόθεσμης και τελικής επίθεσης, ενώ ο άλλος χρησιμοποιείται για την απόσυρση των κλεμμένων διαπιστευτηρίων από περισσότερες από 200 υπηρεσίες. Αυτή τη στιγμή, υπάρχουν πάνω από 60.000 αρχεία στον διακομιστή.
Η έκθεση DFIR, αναλύει λεπτομερώς μια εισβολή που σημειώθηκε τον Φεβρουάριο του 2023. Αυτή περιλάμβανε την κακόβουλη χρήση αρχείων του Microsoft OneNote για την αντιμετώπιση του IcedID, καθώς και τη χρήση του για την αντιμετώπιση των Cobalt Strike, AnyDesk και του ransomware Nokoyawa.
Πριν από έναν χρόνο, η Microsoft ανακοίνωσε το σχέδιό της να μπλοκάρει 120 επεκτάσεις που ενσωματώνονται στα αρχεία του OneNote, με σκοπό να αποτρέψει την κατάχρησή της για την εξάπλωση κακόβουλου λογισμικού.
Η εταιρεία ασφάλειας Proofpoint ανέφερε επίσης ότι πολλά κανάλια YouTube που προωθούν σπασμένα και πειρατικά βιντεοπαιχνίδια λειτουργούν ως αγωγός για την παροχή κλοπών πληροφοριών όπως οι Lumma Stealer, Stealc και Vidar προσθέτοντας κακόβουλους συνδέσμους σε περιγραφές βίντεο.
“Τα βίντεο προσποιούνται ότι δείχνουν στον χρήστη πώς να εκτελέσει διάφορες εργασίες, όπως το κατέβασμα λογισμικού ή η αναβάθμιση βιντεοπαιχνιδιών χωρίς χρέωση. Ωστόσο, οι συνδέσμοι στις περιγραφές των βίντεο καταλήγουν σε κακόβουλο λογισμικό”, δήλωσε ο ερευνητής ασφαλείας Isaac Shaughnessy.
Υπάρχουν ενδείξεις που υποδηλώνουν ότι τέτοια βίντεο δημοσιεύονται από λογαριασμούς που έχουν παραβιαστεί, αλλά υπάρχει επίσης η πιθανότητα ότι οι υπεύθυνοι πίσω από την επιχείρηση μπορεί να έχουν δημιουργήσει προσωρινούς λογαριασμούς για να διαδώσουν τα βίντεο.
Όλα τα βίντεο περιέχουν διευθύνσεις URL για Discord και MediaFire, οι οποίες αναφέρονται σε αρχεία που προστατεύονται με κωδικό πρόσβασης. Αυτό έχει ως αποτέλεσμα την ανάπτυξη κακόβουλου λογισμικού.
Δείτε επίσης: Το PixPirate banking trojan στοχεύει χρήστες στη Βραζιλία
Η Proofpoint ανακοίνωσε ότι εντόπισε πολλές κακόβουλες δραστηριότητες μέσω του YouTube.
«Οι τεχνικές που χρησιμοποιούνται είναι παρόμοιες, μεταξύ άλλων περιλαμβάνουν τη χρήση περιγραφών βίντεο για την κρυπτογράφηση URL προκειμένου να ανακατευθύνουν σε κακόβουλα λογισμικά και την παροχή οδηγιών για την απενεργοποίηση του αντιιικού λογισμικού, καθώς και τη χρήση αρχείων μεγάλου μεγέθους με συμπίεση για την αποφυγή ανίχνευσης», σύμφωνα με τον Shaughnessy.
Πηγή: thehackernews
