Siber Suçlar, Finans ve Bankacılık, Dolandırıcılık Yönetimi ve Siber Suçlar
Mispadu Truva Atı Windows Güvenliğini Tehlikeye Atıyor ve Bankacılık Sistemlerine Tehdit Oluşturuyor
Prajeet Nair (@prajeetspeaks) •
6 Şubat 2024
Bankacılık Truva Atı Mispadu’nun yeni versiyonu, Windows SmartScreen’deki bir kusurdan yararlanarak Latin Amerika ülkelerini, özellikle de Meksika’yı hedefliyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Unit42’deki araştırmacılar, güncellenen Truva atının artık Microsoft’un Kasım 2023’te yamaladığı CVE-2023-36025 olarak izlenen bir Windows SmartScreen atlama güvenlik açığından yararlandığını buldu.
Eset, Mispadu Stealer’ı ilk kez 2019’da ortaya çıkardı ve İspanyolca ve Portekizce konuşan kurbanlardan para ve kimlik bilgilerinin nasıl çalındığını ayrıntılarıyla anlattı.
En son dağıtım yöntemi, potansiyel olarak tehlikeli dosyanın çalıştırılmasına ilişkin bir SmartScreen banner uyarısının etkinleştirilmesini engelleyen aldatıcı URL’ler gönderen spam e-postaları içerir.
Ünite 42 araştırmacıları Kasım 2023’te bir .url
Kötü amaçlı bir ikili dosyayı alıp yürütmek için bir komutu çalıştıran dosya. Microsoft Edge tarayıcısı tarafından indirilen bir zip arşivine gömülü olan bu dosya yolu, Truva Atı’nın, e-posta ekleri veya kötü amaçlı web sitelerinden indirmeler de dahil olmak üzere çeşitli dağıtım yöntemleri aracılığıyla kurbanları hedefleme yeteneğini göstermektedir.
Araştırmacılar ayrıca Truva atının gelişiminin geliştiğini ve seçici olarak dizelerin şifresini çözebildiğini, zaman dilimi farklılıklarını kontrol edebildiğini ve küresel olarak belirli bölgeleri hedefleyebildiğini buldu.
Mispadu Truva Atı, kurbanın Windows sürümünü tanımlar, uzaktaki bir komut ve kontrol sunucusuna HTTP/HTTPS check-in’i gerçekleştirir ve SQLite aracılığıyla kurbanın tarayıcı geçmişiyle etkileşime girer. Ayrıca tarayıcı geçmişi veritabanlarını kopyalar, onlara karşı sorgular yürütür ve önceden oluşturulmuş SHA256 karmalarını kullanarak URL’leri hedeflenen bir listeye göre kontrol eder.
Hedeflenen URL’ler öncelikle kripto para birimiyle ilgili finansal kurum ve kuruluşlara aittir ve odak noktası Latin Amerika ülkeleri, özellikle Meksika’dır.
Araştırmacılar, kampanyanın daha önce hedef alınmayan diğer Avrupa bölgelerine de yayıldığını söyledi.