Os atores de ameaças por trás do Trojan bancário Mispadu tornaram-se os mais recentes a explorar uma falha de segurança do Windows SmartScreen, agora corrigida, para comprometer usuários no México.
Os ataques envolvem uma nova variante do malware que foi observada pela primeira vez em 2019, disse a unidade 42 da Palo Alto Networks em um relatório publicado na semana passada.
Propagado por meio de e-mails de phishing, o Mispadu é um ladrão de informações baseado em Delphi conhecido por infectar especificamente vítimas na região da América Latina (LATAM).
Em março de 2023, a Metabase Q revelou que as campanhas de spam do Mispadu coletaram nada menos que 90.000 credenciais de contas bancárias desde agosto de 2022.
Ele também faz parte da grande família de malwares bancários da LATAM, incluindo o Grandoreiro, que foi desmantelado pelas autoridades policiais brasileiras na semana passada.
A mais recente cadeia de infecção identificada pela Unidade 42 emprega arquivos de atalho de internet falsos contidos em arquivos de arquivo ZIP falsos que exploram a
CVE-2023-36025
(pontuação CVSS: 8.8), uma falha de segurança de alta gravidade no Windows SmartScreen.
Foi corrigido pela Microsoft em novembro de 2023.
"Esta exploração gira em torno da criação de um arquivo de atalho de internet especificamente criado (.URL) ou um hiperlink apontando para arquivos maliciosos que podem contornar os avisos do SmartScreen", disseram os pesquisadores de segurança Daniela Shalev e Josh Grunzweig.
"O desvio é simples e depende de um parâmetro que referencia um compartilhamento de rede, em vez de um URL.
O arquivo .URL criado contém um link para um compartilhamento de rede de um ator de ameaça com um binário malicioso."
O Mispadu, uma vez lançado, revela suas verdadeiras cores ao visar seletivamente vítimas com base em sua localização geográfica (ou seja, Américas ou Europa Ocidental) e configurações de sistema, e então prossegue para estabelecer contato com um servidor de comando e controle (C2) para a exfiltração de dados subsequente.
Nos últimos meses, a falha do Windows foi explorada na natureza por vários grupos de cibercriminosos para entregar malwares DarkGate e Phemedrone Stealer.
O México também surgiu como um alvo importante para várias campanhas no ano passado que foram encontradas para propagar ladrões de informações e trojans de acesso remoto como AllaKore RAT, AsyncRAT, Babylon RAT.
Isso constitui um grupo motivado financeiramente apelidado de TA558 que atacou os setores de hospitalidade e viagens na região da LATAM desde 2018.
Isso acontece no momento que a Sekoia detalhou o funcionamento interno do DICELOADER (também conhecido como Lizar ou Tirion), um downloader personalizado testado no tempo usado pelo grupo russo de crimes cibernéticos rastreado como FIN7.
O malware foi observado sendo entregue por meio de unidades USB maliciosas (conhecidas como BadUSB) no passado.
"DICELOADER é lançado por um script do PowerShell junto com outros malwares do conjunto de intrusão, como o Carbanak RAT", disse a empresa francesa de segurança cibernética, destacando seus sofisticados métodos de ofuscação para ocultar os endereços IP do C2 e as comunicações de rede.
Isso também segue a descoberta da AhnLab de duas novas campanhas de mineração de criptomoedas maliciosas que empregam arquivos de armadilha e hacks de jogos para implementar malware de mineração que minera Monero e Zephyr.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...