Trojan Mispadu Ataca Europa e Compromete Milhares de Credenciais
3 de Abril de 2024

O trojan bancário conhecido como Mispadu expandiu seu foco para além da América Latina (LATAM) e de indivíduos que falam espanhol, visando usuários na Itália, Polônia e Suécia.

Os alvos da campanha em andamento incluem entidades que abrangem finanças, serviços, fabricação de veículos motorizados, escritórios de advocacia e instalações comerciais, de acordo com a Morphisec.

"Apesar da expansão geográfica, o México permanece como o principal alvo", disse o pesquisador de segurança Arnold Osipov em um relatório publicado na semana passada.

"A campanha resultou em milhares de credenciais roubadas, com registros que datam de abril de 2023.

O ator da ameaça aproveita essas credenciais para orquestrar e-mails de phishing maliciosos, representando uma ameaça significativa para os destinatários."

Mispadu, também chamado de URSA, veio à tona em 2019, quando foi observado realizando atividades de roubo de credenciais voltadas para instituições financeiras no Brasil e no México, exibindo janelas pop-up falsas.

O malware baseado em Delphi também é capaz de tirar screenshots e capturar teclas digitadas.

Normalmente distribuído via e-mails de spam, cadeias de ataque recentes aproveitaram uma falha de segurança no Windows SmartScreen ( CVE-2023-36025 , pontuação CVSS: 8.8), agora corrigida, para comprometer usuários no México.

A sequência de infecção analisada pela Morphisec é um processo de várias etapas que começa com um anexo em PDF presente em e-mails com temática de fatura que, ao serem abertos, pedem ao destinatário para clicar em um link preparado para baixar a fatura completa, resultando no download de um arquivo ZIP.

O ZIP vem com um instalador MSI ou um script HTA responsável por recuperar e executar um Script Visual Basic (VBScript) de um servidor remoto, que, por sua vez, baixa um segundo VBScript que, finalmente, baixa e lança a payload do Mispadu usando um script AutoIT, mas após ser descriptografado e injetado na memória por meio de um carregador.

"Este [segundo] script é fortemente ofuscado e emprega o mesmo algoritmo de descriptografia mencionado no DLL", disse Osipov.

"Antes de baixar e invocar a próxima etapa, o script realiza várias verificações anti-VM, incluindo a consulta do modelo do computador, fabricante e versão da BIOS, e comparando-os com aqueles associados a máquinas virtuais."

Os ataques do Mispadu também são caracterizados pelo uso de dois servidores de comando e controle (C2) distintos, um para buscar as payloads intermediárias e finais e outro para exfiltrar as credenciais roubadas de mais de 200 serviços.

Atualmente, existem mais de 60.000 arquivos no servidor.

Esse desenvolvimento ocorre enquanto o Relatório DFIR detalhou uma intrusão em fevereiro de 2023 que envolveu o abuso de arquivos maliciosos do Microsoft OneNote para soltar o IcedID, usá-lo para soltar Cobalt Strike, AnyDesk e o ransomware Nokoyawa.

A Microsoft, exatamente um ano atrás, anunciou que começaria a bloquear 120 extensões embutidas nos arquivos do OneNote para impedir seu abuso na entrega de malware.

As descobertas também ocorrem enquanto a empresa de segurança corporativa Proofpoint disse que vários canais no YouTube promovendo jogos crackeados e piratas estão agindo como um meio para entregar ladrões de informações, como Lumma Stealer, Stealc e Vidar, adicionando links maliciosos às descrições dos vídeos.

"Os vídeos pretendem mostrar ao usuário final como fazer coisas como baixar softwares ou atualizar jogos de vídeo gratuitamente, mas o link nas descrições dos vídeos leva ao malware", disse o pesquisador de segurança Isaac Shaughnessy em uma análise publicada hoje.

Há evidências que sugerem que tais vídeos são postados de contas comprometidas, mas também há a possibilidade de que os atores da ameaça por trás da operação tenham criado contas de curta duração para fins de disseminação.

Todos os vídeos incluem URLs do Discord e MediaFire que apontam para arquivos protegidos por senha que, em última análise, levam à implantação do malware stealer.

A Proofpoint disse que identificou vários clusters de atividades distintos propagando stealers via YouTube com o objetivo de mirar em usuários não empresariais.

A campanha não foi atribuída a um único ator ou grupo de ameaças.

"As técnicas usadas são similares, no entanto, incluindo o uso de descrições de vídeo para hospedar URLs levando a payloads maliciosas e fornecendo instruções sobre como desabilitar antivírus, e usando tamanhos de arquivo similares com inflação para tentar contornar detecções", disse Shaughnessy.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...