adlı bir bankacılık truva atı Mispadu kimlik bilgilerini çalmak ve diğer yükleri teslim etmek amacıyla Bolivya, Şili, Meksika, Peru ve Portekiz gibi ülkeleri hedefleyen çok sayıda spam kampanyasıyla bağlantılıdır.
Latin Amerikalı siber güvenlik firması Metabase Q’dan Ocelot Team, Ağustos 2022’de başlayan faaliyetin şu anda devam ettiğini söyledi. rapor The Hacker News ile paylaştı.
Mispadu (namı diğer URSA) ilk belgelenmiş Kasım 2019’da ESET tarafından, para ve kimlik bilgisi hırsızlığı yapma ve ekran görüntüleri alarak ve tuş vuruşlarını yakalayarak arka kapı görevi görme becerisini açıklıyor.
“Ana stratejilerinden biri, yasal web sitelerini tehlikeye atmak, WordPress’in savunmasız sürümlerini aramak, kötü amaçlı yazılımları oradan yaymak için onları komuta ve kontrol sunucularına dönüştürmek, bulaştırmak istemedikleri ülkeleri filtrelemek, farklı türde yazılımlar bırakmaktır. araştırmacı Fernando García ve Dan Regalado, virüs bulaşan ülkeye dayalı kötü amaçlı yazılım” dedi.
Ayrıca söyleniyor benzerlikleri paylaşmak Grandoreiro gibi bölgeyi hedefleyen diğer bankacılık truva atlarıyla CavaliVe lamba. Delphi kötü amaçlı yazılımını içeren saldırı zincirleri, alıcıları sahte gecikmiş faturaları açmaya teşvik eden e-posta mesajlarından yararlanarak çok aşamalı bir bulaşma sürecini tetikler.
Bir kurban spam e-posta yoluyla gönderilen HTML ekini açarsa, dosyanın bir masaüstü cihazdan açıldığını doğrular ve ardından birinci aşama kötü amaçlı yazılımı almak için uzak bir sunucuya yönlendirir.
RAR veya ZIP arşivi başlatıldığında, yasal verileri kötüye kullanarak truva atının kodunu çözmek ve yürütmek için biri Mispadu kötü amaçlı yazılımı ve diğeri bir AutoIT yükleyicisi olan sahte dijital sertifikalardan yararlanmak üzere tasarlanmıştır. certutil komut satırı yardımcı programı.
Mispadu, güvenliği ihlal edilmiş ana bilgisayarda yüklü antivirüs çözümlerinin listesini toplayacak, Google Chrome ve Microsoft Outlook’tan kimlik bilgilerini alacak ve ek kötü amaçlı yazılımların alınmasını kolaylaştıracak donanıma sahiptir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Bu, sabit kodlu bir etki alanından başka bir yükü indirmeye yarayan gizlenmiş bir Visual Basic Script damlatıcısını, aktör tarafından kontrol edilen bir sunucu tarafından verilen komutları çalıştırabilen .NET tabanlı bir uzaktan erişim aracını ve Rust’ta yazılmış bir yükleyiciyi içerir. turn, dosyaları doğrudan bellekten çalıştırmak için bir PowerShell yükleyici yürütür.
Dahası, kötü amaçlı yazılım, çevrimiçi bankacılık portalları ve diğer hassas bilgilerle ilişkili kimlik bilgilerini elde etmek için kötü amaçlı kaplama ekranlarını kullanır.
Metabase Q, certutil yaklaşımının Mispadu’nun çok çeşitli güvenlik yazılımları tarafından tespit edilmesini atlatmasına ve 17.500’den fazla benzersiz web sitesinden 90.000’den fazla banka hesabı kimlik bilgisini toplamasına izin verdiğini kaydetti.