adlı bir bankacılık truva atı mispadu kimlik bilgilerini çalmak ve diğer yükleri teslim etmek amacıyla Bolivya, Şili, Meksika, Peru ve Portekiz gibi ülkeleri hedefleyen çok sayıda spam kampanyasıyla bağlantılıdır.
Latin Amerikalı siber güvenlik firması Metabase Q’dan Ocelot Team, The Hacker News ile paylaştığı bir raporda, Ağustos 2022’de başlayan faaliyetin şu anda devam ettiğini söyledi.
Mispadu (namı diğer URSA), ilk olarak Kasım 2019’da ESET tarafından belgelendi ve para ve kimlik bilgisi hırsızlığı yapma ve ekran görüntüleri alarak ve tuş vuruşlarını yakalayarak arka kapı görevi görme becerisini açıkladı.
“Ana stratejilerinden biri, yasal web sitelerini tehlikeye atmak, WordPress’in savunmasız sürümlerini aramak, kötü amaçlı yazılımları oradan yaymak için onları komuta ve kontrol sunucularına dönüştürmek, bulaştırmak istemedikleri ülkeleri filtrelemek, farklı türde yazılımlar bırakmaktır. araştırmacı Fernando García ve Dan Regalado, virüs bulaşan ülkeye dayalı kötü amaçlı yazılım” dedi.
Grandoreiro, Javali ve Lampion gibi bölgeyi hedefleyen diğer bankacılık truva atlarıyla da benzerlikler taşıdığı söyleniyor. Delphi kötü amaçlı yazılımını içeren saldırı zincirleri, alıcıları sahte gecikmiş faturaları açmaya teşvik eden e-posta mesajlarından yararlanarak çok aşamalı bir bulaşma sürecini tetikler.
Bir kurban spam e-posta yoluyla gönderilen HTML ekini açarsa, dosyanın bir masaüstü cihazdan açıldığını doğrular ve ardından birinci aşama kötü amaçlı yazılımı almak için uzak bir sunucuya yönlendirir.
RAR veya ZIP arşivi başlatıldığında, meşru certutil komut satırı yardımcı programını kötüye kullanarak truva atının kodunu çözmek ve yürütmek için biri Mispadu kötü amaçlı yazılımı ve diğeri bir AutoIT yükleyicisi olan sahte dijital sertifikalardan yararlanmak üzere tasarlanmıştır.
Mispadu, güvenliği ihlal edilmiş ana bilgisayarda yüklü antivirüs çözümlerinin listesini toplayacak, Google Chrome ve Microsoft Outlook’tan kimlik bilgilerini alacak ve ek kötü amaçlı yazılımların alınmasını kolaylaştıracak donanıma sahiptir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Bu, sabit kodlu bir etki alanından başka bir yükü indirmeye yarayan gizlenmiş bir Visual Basic Komut Dosyası damlatıcısını, aktör tarafından kontrol edilen bir sunucu tarafından verilen komutları çalıştırabilen .NET tabanlı bir uzaktan erişim aracını ve Rust’ta yazılmış bir yükleyiciyi içerir. turn, dosyaları doğrudan bellekten çalıştırmak için bir PowerShell yükleyici yürütür.
Dahası, kötü amaçlı yazılım, çevrimiçi bankacılık portalları ve diğer hassas bilgilerle ilişkili kimlik bilgilerini elde etmek için kötü amaçlı kaplama ekranlarını kullanır.
Metabase Q, certutil yaklaşımının Mispadu’nun çok çeşitli güvenlik yazılımları tarafından tespit edilmesini atlamasına ve 17.500’den fazla benzersiz web sitesinden 90.000’den fazla banka hesabı kimlik bilgisini toplamasına izin verdiğini kaydetti.