Bankacılık truva atı olarak bilinen Mispadu odağını Latin Amerika (LATAM) ve İspanyolca konuşan kişilerin ötesine taşıyarak İtalya, Polonya ve İsveç'teki kullanıcıları hedef aldı.
Morphisec'e göre devam eden kampanyanın hedefleri arasında finans, hizmet, motorlu taşıt üretimi, hukuk firmaları ve ticari tesisleri kapsayan kuruluşlar yer alıyor.
Güvenlik araştırmacısı Arnold Osipov geçen hafta yayınlanan bir raporda, “Coğrafi genişlemeye rağmen Meksika birincil hedef olmaya devam ediyor” dedi.
“Kampanya, kayıtları Nisan 2023'e kadar uzanan binlerce kimlik bilgilerinin çalınmasıyla sonuçlandı. Tehdit aktörü, bu kimlik bilgilerini kötü amaçlı kimlik avı e-postaları düzenlemek için kullanıyor ve alıcılar için önemli bir tehdit oluşturuyor.”
URSA olarak da adlandırılan Mispadu, 2019 yılında sahte açılır pencereler görüntüleyerek Brezilya ve Meksika'daki finans kuruluşlarına yönelik kimlik bilgileri hırsızlığı faaliyetleri gerçekleştirdiğinin gözlemlenmesiyle ortaya çıktı. Delphi tabanlı kötü amaçlı yazılım aynı zamanda ekran görüntüsü alma ve tuş vuruşlarını yakalama yeteneğine de sahiptir.
Genellikle spam e-postalar yoluyla dağıtılan son saldırı zincirleri, Meksika'daki kullanıcıların güvenliğini tehlikeye atmak için artık yamalı bir Windows SmartScreen güvenlik atlama kusurundan (CVE-2023-36025, CVSS puanı: 8,8) yararlandı.
Morphisec tarafından analiz edilen enfeksiyon dizisi, fatura temalı e-postalarda bulunan ve açıldığında alıcıyı faturanın tamamını indirmek için bubi tuzaklı bir bağlantıya tıklamaya yönlendiren ve indirmeyle sonuçlanan bir PDF ekiyle başlayan çok aşamalı bir süreçtir. bir ZIP arşivinin.
ZIP, uzaktaki bir sunucudan bir Visual Basic Komut Dosyasını (VBScript) alıp yürütmekten sorumlu olan bir MSI yükleyicisi veya bir HTA komut dosyasıyla birlikte gelir; bu komut dosyası, sonunda bir AutoIT kullanarak Mispadu yükünü indiren ve başlatan ikinci bir VBScript indirir. ancak şifresi çözüldükten ve bir yükleyici aracılığıyla belleğe enjekte edildikten sonra.
“Bu [second] Osipov, komut dosyasının büyük ölçüde gizlendiğini ve DLL'de belirtilenle aynı şifre çözme algoritmasını kullandığını söyledi.
“Bir sonraki aşamayı indirmeden ve başlatmadan önce komut dosyası, bilgisayarın modelini, üreticisini ve BIOS sürümünü sorgulamak ve bunları sanal makinelerle ilişkili olanlarla karşılaştırmak da dahil olmak üzere çeşitli VM Karşıtı kontroller gerçekleştirir.”
Mispadu saldırıları aynı zamanda iki farklı komuta ve kontrol (C2) sunucusunun kullanılmasıyla da karakterize ediliyor; bunlardan biri orta ve son aşamadaki yükleri almak için, diğeri ise 200'den fazla hizmetten çalınan kimlik bilgilerini sızdırmak için. Şu anda sunucuda 60.000'den fazla dosya bulunmaktadır.
Bu gelişme, DFIR Raporu'nun Şubat 2023'te kötü amaçlı Microsoft OneNote dosyalarının Cobalt Strike, AnyDesk ve Nokoyawa fidye yazılımını düşürmek için IcedID'yi düşürmek amacıyla kötüye kullanılmasını gerektiren bir saldırıyı ayrıntılarıyla anlatmasıyla ortaya çıktı.
Microsoft, tam olarak bir yıl önce, kötü amaçlı yazılım dağıtımı amacıyla kötüye kullanılmasını önlemek için OneNote dosyalarına gömülü 120 uzantıyı engellemeye başlayacağını duyurdu.
Oyun Crackleri için YouTube Videoları Kötü Amaçlı Yazılım Sunuyor
Bulgular, kurumsal güvenlik firması Proofpoint'in, crackli ve korsan video oyunlarını tanıtan birçok YouTube kanalının, video açıklamalarına kötü amaçlı bağlantılar ekleyerek Lumma Stealer, Stealc ve Vidar gibi bilgi hırsızlarını dağıtmak için bir kanal görevi gördüğünü söylemesinin ardından geldi.
Güvenlik araştırmacısı Isaac Shaughnessy bugün yayınlanan bir analizde, “Videolar, son kullanıcıya yazılım indirme veya video oyunlarını ücretsiz olarak yükseltme gibi şeyleri nasıl yapacağını gösteriyor gibi görünüyor, ancak video açıklamalarındaki bağlantı kötü amaçlı yazılımlara yol açıyor” dedi.
Bu tür videoların ele geçirilen hesaplardan yayınlandığına dair kanıtlar mevcut ancak operasyonun arkasındaki tehdit aktörlerinin yayma amacıyla kısa ömürlü hesaplar oluşturmuş olma ihtimali de mevcut.
Tüm videolar, sonuçta hırsız kötü amaçlı yazılımın yayılmasına yol açan, şifre korumalı arşivlere işaret eden Discord ve MediaFire URL'lerini içeriyor.
Proofpoint, kurumsal olmayan kullanıcıları ayırmak amacıyla YouTube aracılığıyla hırsızları yayan çok sayıda farklı etkinlik kümesi tespit ettiğini söyledi. Kampanya tek bir tehdit aktörü veya grubuyla ilişkilendirilmedi.
Shaughnessy, “Ancak, kötü amaçlı yüklere yol açan URL'leri barındırmak için video açıklamalarının kullanılması, antivirüsün devre dışı bırakılmasıyla ilgili talimatlar sağlanması ve tespitleri atlamak için şişkinlikle benzer dosya boyutlarının kullanılması da dahil olmak üzere, kullanılan teknikler benzerdir.” dedi.