Yeni Bankacılık Truva Atı Açıkları Windows SmartScreen Kusurunu Düzeltti

Unit42’deki araştırmacılar, güncellenen Truva atının artık Microsoft’un Kasım 2023’te yamaladığı CVE-2023-36025 olarak izlenen bir Windows SmartScreen atlama güvenlik açığından yararlandığını buldu.

Eset, Mispadu Stealer’ı ilk kez 2019’da ortaya çıkardı ve İspanyolca ve Portekizce konuşan kurbanlardan para ve kimlik bilgilerinin nasıl çalındığını ayrıntılarıyla anlattı.

En son dağıtım yöntemi, potansiyel olarak tehlikeli dosyanın çalıştırılmasına ilişkin bir SmartScreen banner uyarısının etkinleştirilmesini engelleyen aldatıcı URL’ler gönderen spam e-postaları içerir.

Ünite 42 araştırmacıları Kasım 2023’te bir .url Kötü amaçlı bir ikili dosyayı alıp yürütmek için bir komutu çalıştıran dosya. Microsoft Edge tarayıcısı tarafından indirilen bir zip arşivine gömülü olan bu dosya yolu, Truva Atı’nın, e-posta ekleri veya kötü amaçlı web sitelerinden indirmeler de dahil olmak üzere çeşitli dağıtım yöntemleri aracılığıyla kurbanları hedefleme yeteneğini göstermektedir.

Araştırmacılar ayrıca Truva atının gelişiminin geliştiğini ve seçici olarak dizelerin şifresini çözebildiğini, zaman dilimi farklılıklarını kontrol edebildiğini ve küresel olarak belirli bölgeleri hedefleyebildiğini buldu.

Mispadu Truva Atı, kurbanın Windows sürümünü tanımlar, uzaktaki bir komut ve kontrol sunucusuna HTTP/HTTPS check-in’i gerçekleştirir ve SQLite aracılığıyla kurbanın tarayıcı geçmişiyle etkileşime girer. Ayrıca tarayıcı geçmişi veritabanlarını kopyalar, onlara karşı sorgular yürütür ve önceden oluşturulmuş SHA256 karmalarını kullanarak URL’leri hedeflenen bir listeye göre kontrol eder.

Hedeflenen URL’ler öncelikle kripto para birimiyle ilgili finansal kurum ve kuruluşlara aittir ve odak noktası Latin Amerika ülkeleri, özellikle Meksika’dır.

Araştırmacılar, kampanyanın daha önce hedef alınmayan diğer Avrupa bölgelerine de yayıldığını söyledi.