vineri, aprilie 12, 2024

Trojanul Mispadu vizează Europa, mii de acreditări compromise

Acțiune

Troianul bancar familiar sub numele de Mispadu și-a marit atenția decinde de America Latină (LATAM) și persoanele vorbitoare de spaniolă pentru a tinti utilizatorii din Italia, Polonia și Suedia.

Țintele campaniei în rastimp de desfășurare includ entități oricare acoperă finanțe, servicii, producție de autovehicule, firme de avocatură și facilități comerciale, bland Morphisec.

„În invidie expansiunii geografice, Mexicul rămâne ținta principală”, a fatis cercetătorul în siguranta Arnold Osipov într-un relatie publicat săptămâna trecută.

„Campania a avere ca rezolvare mii de acreditări furate, cu înregistrări oricare datează din prier 2023. Actorul amenințărilor folosește aceste acreditări pentru a orchestra e-mailuri de phishing rău intenționat, reprezentând o amenințare semnificativă pentru destinatari”.

Mispadu, numită și URSA, a ieșit la lumină în 2019, când s-a observat desfășurarea unor activități de pungasie de acreditări oricare vizează instituțiile financiare din Brazilia și Mexic prin afișarea de ferestre pop-up false. Malware-ul bazat pe Delphi este, de invar, avizat să facă capturi de ecran și să captureze apăsările de la taste.

Distribuite de habitudine prin e-mailuri spam, lanțurile de ictus apoplectic recente au vechi o defecțiune de ocol a securității Windows SmartScreen (CVE-2023-36025, scor CVSS: 8,8) pentru a a discredita utilizatorii din Mexic.

Securitate cibernetică

Secvența de infecție analizată de Morphisec este un pricina în mai multe etape oricare începe cu un atașament PDF cadou în e-mailurile cu tematică de factură, oricare, apoi când este desfacut, solicită destinatarului să facă chicotit pe un link de capcană pentru a descărca conformatie completă, rezultând descărcarea. a unei arhive ZIP.

ZIP vine fie cu un platforma de stabilire MSI, fie cu un script HTA oricare este raspunzator pentru preluarea și executarea unui Script Visual Basic (VBScript) de la un server la distanță, oricare, la rândul său, descarcă un al doilea VBScript oricare în cele din urmă descarcă și lansează încărcarea utilă Mispadu folosind un AutoIT. script, dar după ce este decriptat și rosu în tinere de minte prin intermediul unui încărcător.

CITIT  Grup de hackeri pro-iranian care vizează Albania cu programe malware fără justiție

„Aiest (al doilea) script este extrem obscurcat și folosește același algoritm de decriptare ca cel menționat în DLL”, a spus Osipov.

„Înainte de a descărca și de a pretexta următoarea etapă, scriptul efectuează mai multe verificări Anti-VM, inclusiv interogarea modelului computerului, producătorului și a versiunii BIOS și comparându-le cu cele asociate cu mașinile virtuale.”

Atacurile Mispadu sunt, de invar, caracterizate prin utilizarea a două servere distincte de comandă și vizita (C2), oarecare pentru preluarea sarcinilor utile intermediare și finale și celalalt pentru exfiltrarea acreditărilor furate de la ofidian 200 de servicii. În cadou, pe server există ofidian 60.000 de fișiere.

Dezvoltarea vine în momentul în oricare Raportul DFIR a amanuntit o intruziune din faur 2023 oricare a presupu-nere abuzul de fișiere Microsoft OneNote rău intenționate pentru a su-prima IcedID, folosindu-l pentru a su-prima Cobalt Strike, AnyDesk și ransomware-ul Nokoyawa.

Microsoft, cu fidel un an în urmă, a anunțat că va începe să blocheze 120 de extensii încorporate în fișierele OneNote pentru a a priti abuzul său pentru livrarea de malware.

Videoclipurile YouTube pentru crackurile jocurilor servesc malware

Descoperirile vin și în ritm ce intreprindere de siguranta pentru întreprinderi Proofpoint a spus că mai multe canale YouTube oricare promovează jocurile terminal crack și piratate acționează ca un canal central pentru a procura furători de informații, cum ar fi Lumma Stealer, Stealc și Vidar, adăugând link-uri rău intenționate la descrierile terminal.

Securitate cibernetică

„Videoclipurile pretind să arate unui utilizator deznodamant cum să facă lucruri bunaoara descărcarea de soft sau actualizarea gratuită a jocurilor terminal, dar linkul din descrierile terminal guverna la malware”, a spus cercetătorul de siguranta Isaac Shaughnessy într-o analiză publicată astăzi.

CITIT  Calculatoare compacte încorporate Cincoze DA-1200 și DV-1100

Există dovezi oricare sugerează că asadar de videoclipuri sunt postate din conturi compromise, dar există și posibilitatea ca actorii amenințărilor din spatele operațiunii să fi creat conturi de scurtă durată în scopuri de raspandire.

Toate videoclipurile includ URL-uri Discord și MediaFire oricare indică arhive protejate prin parolă oricare duc în cele din urmă la implementarea malware-ului furător.

Proofpoint a spus că a recunoscut mai multe grupuri de activități distincte oricare propagă valva prin YouTube, cu scopul de a recunoaste utilizatorii non-întreprinderi. Campania nu a fost atribuită unui singuratic teatralist sau ceata de amenințări.

„Totuși, tehnicile utilizate sunt similare, inclusiv utilizarea descrierilor terminal pentru a găzdui adrese URL oricare conduc la încărcări utile rău intenționate și oferind instrucțiuni catre dezactivarea antivirusului și utilizarea unor fișiere de dimensiuni similare cu meteorism pentru a încerca să ocolească detectările”, a spus Shaughnessy.

(eticheteToTranslate)Cyber ​​Attack

Citeşte mai mult

Stiri în tendințe