O trojan bancário conhecido como Mispadu expandiu seu foco para além da América Latina (LATAM) e de indivíduos que falam espanhol, visando usuários na Itália, Polônia e Suécia.
Os alvos da campanha em andamento incluem entidades que abrangem finanças, serviços, fabricação de veículos motorizados, escritórios de advocacia e instalações comerciais, de acordo com a Morphisec.
"Apesar da expansão geográfica, o México permanece como o principal alvo", disse o pesquisador de segurança Arnold Osipov em um relatório publicado na semana passada.
"A campanha resultou em milhares de credenciais roubadas, com registros que datam de abril de 2023.
O ator da ameaça aproveita essas credenciais para orquestrar e-mails de phishing maliciosos, representando uma ameaça significativa para os destinatários."
Mispadu, também chamado de URSA, veio à tona em 2019, quando foi observado realizando atividades de roubo de credenciais voltadas para instituições financeiras no Brasil e no México, exibindo janelas pop-up falsas.
O malware baseado em Delphi também é capaz de tirar screenshots e capturar teclas digitadas.
Normalmente distribuído via e-mails de spam, cadeias de ataque recentes aproveitaram uma falha de segurança no Windows SmartScreen (
CVE-2023-36025
, pontuação CVSS: 8.8), agora corrigida, para comprometer usuários no México.
A sequência de infecção analisada pela Morphisec é um processo de várias etapas que começa com um anexo em PDF presente em e-mails com temática de fatura que, ao serem abertos, pedem ao destinatário para clicar em um link preparado para baixar a fatura completa, resultando no download de um arquivo ZIP.
O ZIP vem com um instalador MSI ou um script HTA responsável por recuperar e executar um Script Visual Basic (VBScript) de um servidor remoto, que, por sua vez, baixa um segundo VBScript que, finalmente, baixa e lança a payload do Mispadu usando um script AutoIT, mas após ser descriptografado e injetado na memória por meio de um carregador.
"Este [segundo] script é fortemente ofuscado e emprega o mesmo algoritmo de descriptografia mencionado no DLL", disse Osipov.
"Antes de baixar e invocar a próxima etapa, o script realiza várias verificações anti-VM, incluindo a consulta do modelo do computador, fabricante e versão da BIOS, e comparando-os com aqueles associados a máquinas virtuais."
Os ataques do Mispadu também são caracterizados pelo uso de dois servidores de comando e controle (C2) distintos, um para buscar as payloads intermediárias e finais e outro para exfiltrar as credenciais roubadas de mais de 200 serviços.
Atualmente, existem mais de 60.000 arquivos no servidor.
Esse desenvolvimento ocorre enquanto o Relatório DFIR detalhou uma intrusão em fevereiro de 2023 que envolveu o abuso de arquivos maliciosos do Microsoft OneNote para soltar o IcedID, usá-lo para soltar Cobalt Strike, AnyDesk e o ransomware Nokoyawa.
A Microsoft, exatamente um ano atrás, anunciou que começaria a bloquear 120 extensões embutidas nos arquivos do OneNote para impedir seu abuso na entrega de malware.
As descobertas também ocorrem enquanto a empresa de segurança corporativa Proofpoint disse que vários canais no YouTube promovendo jogos crackeados e piratas estão agindo como um meio para entregar ladrões de informações, como Lumma Stealer, Stealc e Vidar, adicionando links maliciosos às descrições dos vídeos.
"Os vídeos pretendem mostrar ao usuário final como fazer coisas como baixar softwares ou atualizar jogos de vídeo gratuitamente, mas o link nas descrições dos vídeos leva ao malware", disse o pesquisador de segurança Isaac Shaughnessy em uma análise publicada hoje.
Há evidências que sugerem que tais vídeos são postados de contas comprometidas, mas também há a possibilidade de que os atores da ameaça por trás da operação tenham criado contas de curta duração para fins de disseminação.
Todos os vídeos incluem URLs do Discord e MediaFire que apontam para arquivos protegidos por senha que, em última análise, levam à implantação do malware stealer.
A Proofpoint disse que identificou vários clusters de atividades distintos propagando stealers via YouTube com o objetivo de mirar em usuários não empresariais.
A campanha não foi atribuída a um único ator ou grupo de ameaças.
"As técnicas usadas são similares, no entanto, incluindo o uso de descrições de vídeo para hospedar URLs levando a payloads maliciosas e fornecendo instruções sobre como desabilitar antivírus, e usando tamanhos de arquivo similares com inflação para tentar contornar detecções", disse Shaughnessy.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...