Троян Mispadu нацелен на Европу, тысячи учетных данных скомпрометированы

[Father]

Банковский троянец, известный как Mispadu, расширил сферу своего влияния за пределы Латинской Америки (LATAM) и испаноязычных пользователей, нацелившись на пользователей в Италии, Польше и Швеции.

По данным Morphisec, целями текущей кампании являются организации, охватывающие финансы, услуги, производство автомобилей, юридические фирмы и коммерческие объекты.

"Несмотря на географическое расширение, Мексика остается основной целью", - сказал исследователь безопасности Арнольд Осипов в отчете, опубликованном на прошлой неделе.

"Результатом кампании стали тысячи украденных учетных данных, записи о которых датируются апрелем 2023 года. Злоумышленник использует эти учетные данные для организации вредоносных фишинговых электронных писем, представляющих серьезную угрозу для получателей".

Mispadu, также называемая URSA, появилась на свет в 2019 году, когда было замечено, что она осуществляла кражу учетных данных финансовых учреждений в Бразилии и Мексике, отображая поддельные всплывающие окна. Вредоносная программа на базе Delphi также способна делать скриншоты и фиксировать нажатия клавиш.

Обычно распространяемые через спам-письма, недавние цепочки атак использовали исправленную уязвимость обхода безопасности Windows SmartScreen (CVE-2023-36025, оценка CVSS: 8,8) для компрометации пользователей в Мексике.

Последовательность заражения, проанализированная Morphisec, представляет собой многоступенчатый процесс, который начинается с вложения PDF, присутствующего в электронных письмах на тему счета, которое при открытии предлагает получателю нажать на заминированную ссылку, чтобы загрузить полный счет, что приводит к загрузке ZIP-архива.

ZIP поставляется либо с установщиком MSI, либо со скриптом HTA, который отвечает за извлечение и выполнение скрипта Visual Basic (VBScript) с удаленного сервера, который, в свою очередь, загружает второй VBScript, который в конечном итоге загружает и запускает полезную нагрузку Mispadu с помощью скрипта AutoIt, но после того, как он расшифрован и введен в память с помощью загрузчика.

"Этот [второй] скрипт сильно запутан и использует тот же алгоритм дешифрования, что и упомянутый в DLL", - сказал Осипов.

"Перед загрузкой и запуском следующего этапа скрипт выполняет несколько проверок против виртуальных машин, включая запрос модели компьютера, производителя и версии BIOS и сравнение их с теми, которые связаны с виртуальными машинами".

Атаки Mispadu также характеризуются использованием двух отдельных серверов командования и управления (C2), один из которых предназначен для получения полезных данных промежуточного и заключительного этапов, а другой - для извлечения украденных учетных данных из более чем 200 сервисов. В настоящее время на сервере находится более 60 000 файлов.

Разработка началась после того, как отчет DFIR подробно описал вторжение в феврале 2023 года, которое повлекло за собой злоупотребление вредоносными файлами Microsoft OneNote для удаления IcedID, используя его для удаления Cobalt Strike, AnyDesk и программы-вымогателя Nokoyawa.

Ровно год назад компания Microsoft объявила, что начнет блокировать 120 расширений, встроенных в файлы OneNote, чтобы предотвратить злоупотребление ими для доставки вредоносного ПО.

Видеоролики YouTube о взломах игр содержат вредоносное ПО​

Выводы также получены после того, как компания по корпоративной безопасности Proofpoint заявила, что несколько каналов YouTube, продвигающих взломанные и пиратские видеоигры, действуют как канал для доставки похитителей информации, таких как Lumma Stealer, Stealc и Vidar, добавляя вредоносные ссылки к описаниям видео.

"Видеоролики призваны показать конечному пользователю, как делать такие вещи, как загрузка программного обеспечения или обновление видеоигр бесплатно, но ссылка в описании видео ведет к вредоносному ПО", - сказал исследователь безопасности Айзек Шонесси в опубликованном сегодня анализе.

Есть основания полагать, что такие видео публикуются со скомпрометированных учетных записей, но также существует вероятность того, что злоумышленники, стоящие за операцией, создали учетные записи с коротким сроком действия для целей распространения.

Все видео содержат URL-адреса Discord и MediaFire, которые указывают на архивы, защищенные паролем, что в конечном итоге приводит к развертыванию вредоносного ПО stealer.

Proofpoint заявила, что выявила несколько отдельных групп активности, распространяющих кражи через YouTube с целью выделить пользователей, не являющихся корпоративными. Кампания не была отнесена к одному субъекту угрозы или группе.

"Однако используемые методы аналогичны, включая использование описаний видео для размещения URL-адресов, ведущих к вредоносным нагрузкам, и предоставление инструкций по отключению антивируса, а также использование файлов аналогичного размера с раздуванием для попытки обойти обнаружение", - сказал Шонесси.