Mispadu bankacılık Truva Atı’nın arkasındaki tehdit aktörleri, Meksika’daki kullanıcıların güvenliğini tehlikeye atmak için artık yamalı bir Windows SmartScreen güvenlik atlama kusurundan yararlanan son kişiler oldu.
Palo Alto Networks Birim 42, geçen hafta yayınlanan bir raporda, saldırıların ilk kez 2019’da gözlemlenen kötü amaçlı yazılımın yeni bir versiyonunu gerektirdiğini söyledi.
Kimlik avı e-postaları aracılığıyla yayılan Mispadu, özellikle Latin Amerika (LATAM) bölgesindeki kurbanlara bulaştığı bilinen Delphi tabanlı bir bilgi hırsızıdır. Mart 2023’te Metabase Q, Mispadu spam kampanyalarının Ağustos 2022’den bu yana en az 90.000 banka hesabı kimlik bilgisini topladığını ortaya çıkardı.
Bu aynı zamanda, geçen hafta Brezilya kolluk kuvvetleri tarafından çökertilen Grandoreiro’nun da aralarında bulunduğu LATAM bankacılık kötü amaçlı yazılımlarının daha büyük bir ailesinin bir parçası.
Birim 42 tarafından tanımlanan en son enfeksiyon zinciri, Windows SmartScreen’deki yüksek önem derecesine sahip bir atlama kusuru olan CVE-2023-36025’i (CVSS puanı: 8,8) kullanan sahte ZIP arşiv dosyalarında bulunan hileli internet kısayol dosyalarını kullanıyor. Sorun Microsoft tarafından Kasım 2023’te ele alındı.
Güvenlik araştırmacıları Daniela Shalev ve Josh Grunzweig, “Bu istismar, özel olarak hazırlanmış bir internet kısayol dosyasının (.URL) veya SmartScreen’in uyarılarını atlayabilecek kötü amaçlı dosyalara işaret eden bir köprünün oluşturulması etrafında dönüyor” dedi.
“Atlama basittir ve bir URL yerine ağ paylaşımına başvuran bir parametreye dayanır. Hazırlanan .URL dosyası, tehdit aktörünün kötü amaçlı bir ikili dosya içeren ağ paylaşımına giden bir bağlantı içerir.”
Mispadu, piyasaya sürüldükten sonra mağdurları coğrafi konumlarına (yani Amerika veya Batı Avrupa) ve sistem konfigürasyonlarına göre hedefleyerek gerçek rengini ortaya koyuyor ve ardından takip için bir komuta ve kontrol (C2) sunucusuyla bağlantı kurmaya devam ediyor. veri sızmasıyla ilgili.
Son aylarda Windows kusuru, birden fazla siber suç grubu tarafından DarkGate ve Phemedrone Stealer kötü amaçlı yazılımlarını dağıtmak için yaygın olarak kullanıldı.
Meksika ayrıca geçtiğimiz yıl AllaKore RAT, AsyncRAT, Babylon RAT gibi bilgi hırsızları ve uzaktan erişim truva atlarını yaydığı tespit edilen çeşitli kampanyaların ana hedefi olarak ortaya çıktı. Bu, 2018’den bu yana LATAM bölgesindeki konaklama ve seyahat sektörlerine saldıran TA558 adlı mali motivasyonlu bir grubu oluşturuyor.
Bu gelişme, Sekoia’nın, FIN7 olarak takip edilen Rus e-suç grubu tarafından kullanılan, zaman içinde test edilmiş özel bir indirici olan DICELOADER’ın (diğer adıyla Lizar veya Tirion) iç işleyişini ayrıntılarıyla açıklamasıyla ortaya çıktı. Kötü amaçlı yazılımın geçmişte kötü amaçlı USB sürücüler (diğer adıyla BadUSB) aracılığıyla dağıtıldığı gözlemlendi.
Fransız siber güvenlik firması, C2 IP adreslerini ve ağ iletişimlerini gizlemek için kullandığı gelişmiş gizleme yöntemlerini öne sürerek, “DICELOADER, Carbanak RAT gibi izinsiz giriş setinin cephaneliğindeki diğer kötü amaçlı yazılımlarla birlikte bir PowerShell betiği tarafından düşürüldü.” dedi.
Bu aynı zamanda AhnLab’ın Monero ve Zephyr madenciliği yapan madenci kötü amaçlı yazılımlarını dağıtmak için bubi tuzaklı arşivler ve oyun hackleri kullanan iki yeni kötü amaçlı kripto para birimi madenciliği kampanyasını keşfetmesinin ardından geldi.