Os agentes de prenúncio por trás do Trojan bancário Mispadu tornaram-se os mais recentes a explorar uma lapso de meandro de segurança do Windows SmartScreen, agora corrigida, para comprometer os usuários no México.
Os ataques envolvem uma novidade versão do malware que foi observada pela primeira vez em 2019, disse a Unidade 42 da Palo Cocuruto Networks em um relatório publicado na semana passada.
Propagado através de e-mails de phishing, o Mispadu é um ladrão de informações fundamentado em Delphi, divulgado por infectar especificamente vítimas na região da América Latina (LATAM). Em março de 2023, a Metabase Q revelou que as campanhas de spam Mispadu coletaram zero menos que 90.000 credenciais de contas bancárias desde agosto de 2022.
Também faz segmento de uma família maior de malware bancário da América Latina, incluindo o Grandoreiro, que foi desmantelado pelas autoridades brasileiras na semana passada.
A mais recente masmorra de infecção identificada pela Unidade 42 emprega arquivos de tramite de Internet nocivos contidos em arquivos ZIP falsos que aproveitam o CVE-2023-36025 (pontuação CVSS: 8,8), uma lapso de meandro de subida sisudez no Windows SmartScreen. O problema foi abordado pela Microsoft em novembro de 2023.
“Essa exploração gira em torno da geração de um registro de tramite da Internet (.URL) especificamente criado ou de um hiperlink apontando para arquivos maliciosos que podem ignorar os avisos do SmartScreen”, disseram os pesquisadores de segurança Daniela Shalev e Josh Grunzweig.
“O meandro é simples e depende de um parâmetro que faz referência a um compartilhamento de rede, em vez de uma URL. O registro .URL criado contém um link para o compartilhamento de rede de um agente de prenúncio com um binário malicioso.”
O Mispadu, uma vez lançado, revela sua verdadeira face ao atingir seletivamente as vítimas com base em sua localização geográfica (ou seja, Américas ou Europa Ocidental) e configurações do sistema, e logo estabelece contato com um servidor de comando e controle (C2) para séquito. sobre exfiltração de dados.
Nos últimos meses, a lapso do Windows foi explorada por vários grupos de crimes cibernéticos para entregar malware DarkGate e Phemedrone Stealer nos últimos meses.
O México também emergiu porquê um dos principais alvos de várias campanhas no ano pretérito que propagaram ladrões de informações e trojans de entrada remoto porquê AllaKore RAT, AsyncRAT, Babylon RAT. Levante constitui um grupo com motivação financeira denominado TA558 que ataca os setores de hospitalidade e viagens na região LATAM desde 2018.
O desenvolvimento ocorre no momento em que Sekoia detalha o funcionamento interno do DICELOADER (também divulgado porquê Lizar ou Tirion), um downloader personalizado testado pelo tempo usado pelo grupo russo de delito eletrônico divulgado porquê FIN7. O malware foi observado no pretérito por meio de unidades USB maliciosas (também conhecidas porquê BadUSB).
“O DICELOADER é descartado por um script PowerShell junto com outros malwares do arsenal do conjunto de intrusão, porquê o Carbanak RAT”, disse a empresa francesa de segurança cibernética, destacando seus sofisticados métodos de ofuscação para ocultar os endereços IP C2 e as comunicações de rede.
Também segue a invenção da AhnLab de duas novas campanhas maliciosas de mineração de criptomoedas que empregam arquivos com armadilhas e hacks de jogos para implantar malware de minerador que explora Monero e Zephyr.
