- 13,849
- 20
- 8 Ноя 2022
Банковский троян из Латинской Америки атакует Италию, Польшу и Швецию.
Банковский троян Mispadu, ранее известный атаками на Латинскую Америку и испаноязычных пользователей, теперь нацелен на жителей Италии, Польши и Швеции. Для просмотра ссылки Войдиили Зарегистрируйся исследовательской компании Morphisec , в числе целей кампании — представители финансового сектора, сферы услуг, производства автомобилей, юридических фирм и коммерческих учреждений.
Несмотря на расширение географии атак, основной целью злоумышленников остаётся Мексика. «Кампания привела к краже тысяч учётных данных, начиная с апреля 2023 года. Злоумышленники используют эти данные для организации мошеннических фишинговых рассылок, представляющих значительную угрозу для получателей», — говорит исследователь безопасности Арнольд Осипов.
Впервые троян Mispadu был обнаружен в 2019 году во время атак на финансовые учреждения Бразилии и Мексики, когда использовались поддельные всплывающие окна для кражи учётных данных. Вредонос, написанный на Delphi, также способен делать снимки экрана и перехватывать нажатия клавиш.
Основным методом распространения трояна являются фишинговые рассылки и эксплуатация уязвимости обхода защиты Windows SmartScreen (CVE-2023-36025 с оценкой CVSS 8.8), что и позволяло заражать пользователей в Мексике.
Атаки Mispadu характеризуются многоэтапной схемой заражения, которая начинается с PDF -вложений в письмах на тему счетов-фактур. Открытие такого вложения приводит к переходу по вредоносной ссылке для загрузки полной версии счёта, что ведёт к загрузке ZIP-архива. Этот архив содержит либо установщик MSI, либо скрипт HTA, запускающий процесс загрузки и исполнения вредоносного кода через серию VBScript и AutoIT-скриптов после расшифровки и инъекции в память.
«Перед загрузкой и вызовом следующего этапа скрипт выполняет несколько проверок на виртуальную машину, включая запрос модели компьютера, производителя и версии BIOS, сравнивая их с данными, ассоциированными с виртуальными машинами», — отметил Осипов.
Кроме того, для атак Mispadu используются два различных C2 -сервера: один для получения промежуточных и окончательных этапов нагрузки, а другой для эксфильтрации украденных учётных данных более чем с 200 сервисов. По данным исследователей, на текущий момент на сервере для эксфильтрации хранится более 60 000 файлов.
Расширение сферы действия банковского трояна Mispadu подчёркивает важность глобальной бдительности и совместных усилий в борьбе с киберпреступностью. Современные технологии предоставляют злоумышленникам новые возможности для атак, требуя от пользователей и организаций постоянного обновления знаний в области кибербезопасности и применения эффективных инструментов защиты.
Банковский троян Mispadu, ранее известный атаками на Латинскую Америку и испаноязычных пользователей, теперь нацелен на жителей Италии, Польши и Швеции. Для просмотра ссылки Войди
Несмотря на расширение географии атак, основной целью злоумышленников остаётся Мексика. «Кампания привела к краже тысяч учётных данных, начиная с апреля 2023 года. Злоумышленники используют эти данные для организации мошеннических фишинговых рассылок, представляющих значительную угрозу для получателей», — говорит исследователь безопасности Арнольд Осипов.
Впервые троян Mispadu был обнаружен в 2019 году во время атак на финансовые учреждения Бразилии и Мексики, когда использовались поддельные всплывающие окна для кражи учётных данных. Вредонос, написанный на Delphi, также способен делать снимки экрана и перехватывать нажатия клавиш.
Основным методом распространения трояна являются фишинговые рассылки и эксплуатация уязвимости обхода защиты Windows SmartScreen (CVE-2023-36025 с оценкой CVSS 8.8), что и позволяло заражать пользователей в Мексике.
Атаки Mispadu характеризуются многоэтапной схемой заражения, которая начинается с PDF -вложений в письмах на тему счетов-фактур. Открытие такого вложения приводит к переходу по вредоносной ссылке для загрузки полной версии счёта, что ведёт к загрузке ZIP-архива. Этот архив содержит либо установщик MSI, либо скрипт HTA, запускающий процесс загрузки и исполнения вредоносного кода через серию VBScript и AutoIT-скриптов после расшифровки и инъекции в память.
«Перед загрузкой и вызовом следующего этапа скрипт выполняет несколько проверок на виртуальную машину, включая запрос модели компьютера, производителя и версии BIOS, сравнивая их с данными, ассоциированными с виртуальными машинами», — отметил Осипов.
Кроме того, для атак Mispadu используются два различных C2 -сервера: один для получения промежуточных и окончательных этапов нагрузки, а другой для эксфильтрации украденных учётных данных более чем с 200 сервисов. По данным исследователей, на текущий момент на сервере для эксфильтрации хранится более 60 000 файлов.
Расширение сферы действия банковского трояна Mispadu подчёркивает важность глобальной бдительности и совместных усилий в борьбе с киберпреступностью. Современные технологии предоставляют злоумышленникам новые возможности для атак, требуя от пользователей и организаций постоянного обновления знаний в области кибербезопасности и применения эффективных инструментов защиты.
- Источник новости
- www.securitylab.ru
