Mispadu bankacılık Truva Atı’nın arkasındaki tehdit aktörleri, Meksika’daki kullanıcıların güvenliğini tehlikeye atmak için artık yamalı bir Windows SmartScreen güvenlik atlama kusurundan yararlanan son kişiler oldu.
Palo Alto Networks Unit 42, geçen hafta yayınlanan bir raporda, saldırıların ilk kez 2019’da gözlemlenen kötü amaçlı yazılımın yeni bir versiyonunu gerektirdiğini söyledi.
Kimlik avı e-postaları aracılığıyla yayılan Mispadu, özellikle Latin Amerika (LATAM) bölgesindeki kurbanlara bulaştığı bilinen Delphi tabanlı bir bilgi hırsızıdır. Mart 2023’te Metabase Q, Mispadu spam kampanyalarının Ağustos 2022’den bu yana en az 90.000 banka hesabı kimlik bilgisini topladığını ortaya çıkardı.
Bu aynı zamanda, geçen hafta Brezilya kolluk kuvvetleri tarafından çökertilen Grandoreiro’nun da aralarında bulunduğu LATAM bankacılık kötü amaçlı yazılımlarının daha büyük bir ailesinin bir parçası.
Birim 42 tarafından tanımlanan en son enfeksiyon zinciri, Windows SmartScreen’deki yüksek önem derecesine sahip bir atlama kusuru olan CVE-2023-36025’i (CVSS puanı: 8,8) kullanan sahte ZIP arşiv dosyalarında bulunan hileli internet kısayol dosyalarını kullanıyor. Sorun Microsoft tarafından Kasım 2023’te ele alındı.
Güvenlik araştırmacıları Daniela Shalev ve Josh Grunzweig, “Bu istismar, özel olarak hazırlanmış bir internet kısayol dosyasının (.URL) veya SmartScreen’in uyarılarını atlayabilecek kötü amaçlı dosyalara işaret eden bir köprünün oluşturulması etrafında dönüyor.” söz konusu.
“Atlama basittir ve bir URL yerine ağ paylaşımına başvuran bir parametreye dayanır. Hazırlanan .URL dosyası, tehdit aktörünün kötü amaçlı bir ikili dosya içeren ağ paylaşımına giden bir bağlantı içerir.”
Mispadu, piyasaya sürüldükten sonra kurbanları coğrafi konumlarına (yani Amerika veya Batı Avrupa) ve sistem konfigürasyonlarına göre hedefleyerek gerçek rengini ortaya koyuyor ve ardından takip için bir komuta ve kontrol (C2) sunucusuyla bağlantı kurmaya devam ediyor. Veri sızmasıyla ilgili.
Son aylarda Windows kusuru, birden fazla siber suç grubu tarafından DarkGate ve Phemedrone Stealer kötü amaçlı yazılımlarını dağıtmak için yaygın olarak kullanıldı.
Meksika ayrıca geçtiğimiz yıl içinde propaganda yaptığı tespit edilen birçok kampanyanın ana hedefi olarak ortaya çıktı. bilgi hırsızları ve AllaKore RAT, AsyncRAT, Babylon RAT gibi uzaktan erişim truva atları. Bu, mali motivasyona sahip bir grup oluşturur TA558 2018’den bu yana LATAM bölgesindeki konaklama ve seyahat sektörlerine saldırıyor.
Bu gelişme, Sekoia’nın, FIN7 olarak takip edilen Rus e-suç grubu tarafından kullanılan, zaman içinde test edilmiş özel bir indirici olan DICELOADER’ın (diğer adıyla Lizar veya Tirion) iç işleyişini ayrıntılarıyla açıklamasıyla ortaya çıktı. Kötü amaçlı yazılım gözlemlendi teslim edilmiş Geçmişte kötü amaçlı USB sürücüler (diğer adıyla BadUSB) aracılığıyla.
Fransız siber güvenlik firması “DICELOADER, Carbanak RAT gibi izinsiz giriş setinin cephaneliğindeki diğer kötü amaçlı yazılımlarla birlikte bir PowerShell betiği tarafından düşürüldü.” söz konusuC2 IP adreslerini ve ağ iletişimlerini gizlemek için gelişmiş gizleme yöntemlerini çağırıyor.
Bu aynı zamanda AhnLab’ın iki yeni kötü amaçlı kripto para madenciliği kampanyası keşfetmesinin de ardından geliyor. bubi tuzaklı arşivler Ve oyun hileleri Monero ve Zephyr madenciliği yapan madenci kötü amaçlı yazılımlarını dağıtmak için.