Les auteurs de la menace derrière le cheval de Troie bancaire Mispadu sont les derniers à exploiter une faille de contournement de sécurité Windows SmartScreen, désormais corrigée, pour compromettre les utilisateurs au Mexique.
Les attaques impliquent une nouvelle variante du malware qui a été observée pour la première fois en 2019, a déclaré l’unité 42 de Palo Alto Networks dans un rapport publié la semaine dernière.
Propagé via des courriers de phishing, Mispadu est un voleur d’informations basé sur Delphi connu pour infecter spécifiquement les victimes de la région latino-américaine (LATAM). En mars 2023, Metabase Q révélait que les campagnes de spam Mispadu avaient récolté pas moins de 90 000 identifiants de comptes bancaires depuis août 2022.
Il fait également partie de la plus grande famille de logiciels malveillants bancaires LATAM, dont Grandoreiro, qui a été démantelé par les autorités brésiliennes chargées de l’application des lois la semaine dernière.
La dernière chaîne d’infection identifiée par l’Unité 42 utilise des fichiers de raccourci Internet malveillants contenus dans de faux fichiers d’archive ZIP qui exploitent CVE-2023-36025 (score CVSS : 8,8), une faille de contournement de haute gravité dans Windows SmartScreen. Ce problème a été résolu par Microsoft en novembre 2023.
« Cet exploit tourne autour de la création d’un fichier de raccourci Internet spécialement conçu (.URL) ou d’un lien hypertexte pointant vers des fichiers malveillants pouvant contourner les avertissements de SmartScreen », ont déclaré les chercheurs en sécurité Daniela Shalev et Josh Grunzweig. dit.
« Le contournement est simple et repose sur un paramètre qui fait référence à un partage réseau, plutôt qu’à une URL. Le fichier .URL contrefait contient un lien vers le partage réseau d’un acteur menaçant avec un binaire malveillant. »
Mispadu, une fois lancé, révèle ses vraies couleurs en ciblant sélectivement les victimes en fonction de leur emplacement géographique (c’est-à-dire Amériques ou Europe occidentale) et des configurations du système, puis établit le contact avec un serveur de commande et de contrôle (C2) pour le suivi. sur l’exfiltration de données.
Ces derniers mois, la faille Windows a été exploitée de manière sauvage par plusieurs groupes de cybercriminalité pour diffuser les logiciels malveillants DarkGate et Phemadrone Stealer.
Le Mexique est également devenu une cible privilégiée de plusieurs campagnes menées au cours de l’année écoulée, qui se sont propagées voleurs d’informations et des chevaux de Troie d’accès à distance comme AllaKore RAT, AsyncRAT, Babylon RAT. Cela constitue un groupe motivé financièrement baptisé TA558 qui attaque les secteurs de l’hôtellerie et du voyage dans la région LATAM depuis 2018.
Ce développement intervient alors que Sekoia a détaillé le fonctionnement interne de DICELOADER (alias Lizar ou Tirion), un téléchargeur personnalisé éprouvé et utilisé par le groupe russe de lutte contre la criminalité électronique suivi sous le nom de FIN7. Le malware a été observé livré via des clés USB malveillantes (alias BadUSB) dans le passé.
« DICELOADER est abandonné par un script PowerShell avec d’autres malwares de l’arsenal de l’ensemble des intrusions comme Carbanak RAT », affirme la société française de cybersécurité. ditfaisant appel à ses méthodes d’obscurcissement sophistiquées pour dissimuler les adresses IP C2 et les communications réseau.
Cela fait également suite à la découverte par AhnLab de deux nouvelles campagnes malveillantes d’extraction de cryptomonnaies qui emploient archives piégées et astuces de jeu pour déployer des logiciels malveillants mineurs qui exploitent Monero et Zephyr.