Le cheval de Troie Mispadu cible l’Europe et des milliers d’identifiants compromis
Le cheval de Troie bancaire connu sous le nom de Mispadu a étendu son champ d’action au-delà de l’Amérique latine (LATAM) et des individus hispanophones pour cibler les utilisateurs en Italie, en Pologne et en Suède.
Les cibles de la campagne en cours comprennent des entités couvrant la finance, les services, la fabrication de véhicules automobiles, les cabinets d’avocats et les installations commerciales, selon Morphisec.
“Malgré l’expansion géographique, le Mexique reste la cible principale”, a déclaré le chercheur en sécurité Arnold Osipov dans un rapport publié la semaine dernière.
“La campagne a abouti au vol de milliers d’identifiants, dont les enregistrements remontent à avril 2023. L’acteur malveillant exploite ces identifiants pour orchestrer des e-mails de phishing malveillants, posant ainsi une menace importante pour les destinataires.”
Mispadu, également appelé URSA, a été découvert en 2019, lorsqu’il a été observé en train de commettre des activités de vol d’informations d’identification visant des institutions financières au Brésil et au Mexique en affichant de fausses fenêtres pop-up. Le malware basé sur Delphi est également capable de prendre des captures d’écran et de capturer les frappes.
Généralement distribuées via des courriers indésirables, les chaînes d’attaque récentes ont exploité une faille de contournement de sécurité Windows SmartScreen désormais corrigée (CVE-2023-36025, score CVSS : 8,8) pour compromettre les utilisateurs au Mexique.
La séquence d’infection analysée par Morphisec est un processus en plusieurs étapes qui commence par une pièce jointe PDF présente dans les e-mails sur le thème des factures qui, une fois ouverte, invite le destinataire à cliquer sur un lien piégé pour télécharger la facture complète, ce qui entraîne le téléchargement. d’une archive ZIP.
Le ZIP est livré avec un programme d’installation MSI ou un script HTA chargé de récupérer et d’exécuter un script Visual Basic (VBScript) à partir d’un serveur distant, qui, à son tour, télécharge un deuxième VBScript qui télécharge et lance finalement la charge utile Mispadu à l’aide d’un AutoIT. script mais après qu’il soit déchiffré et injecté en mémoire au moyen d’un chargeur.
“Ce [second] script est fortement obscurci et utilise le même algorithme de décryptage que celui mentionné dans la DLL”, a déclaré Osipov.
“Avant de télécharger et d’invoquer l’étape suivante, le script effectue plusieurs vérifications anti-VM, notamment en interrogeant le modèle, le fabricant et la version du BIOS de l’ordinateur, et en les comparant à ceux associés aux machines virtuelles.”
Les attaques Mispadu se caractérisent également par l’utilisation de deux serveurs de commande et de contrôle (C2) distincts, un pour récupérer les charges utiles des étapes intermédiaire et finale et un autre pour exfiltrer les informations d’identification volées de plus de 200 services. Il y a actuellement plus de 60 000 fichiers sur le serveur.
Cette évolution intervient alors que le rapport DFIR détaille une intrusion de février 2023 qui impliquait l’abus de fichiers Microsoft OneNote malveillants pour supprimer IcedID , en l’utilisant pour supprimer Cobalt Strike, AnyDesk et le ransomware Nokoyawa.
Microsoft, il y a exactement un an, a annoncé qu’il commencerait à bloquer 120 extensions intégrées dans les fichiers OneNote pour empêcher toute utilisation abusive de logiciels malveillants.
Les vidéos YouTube pour les cracks de jeux servent des logiciels malveillants#
Ces résultats interviennent également alors que la société de sécurité d’entreprise Proofpoint a déclaré que plusieurs chaînes YouTube faisant la promotion de jeux vidéo piratés et piratés servaient de canal pour diffuser des voleurs d’informations tels que Lumma Stealer, Stealc et Vidar en ajoutant des liens malveillants aux descriptions vidéo.
“Les vidéos prétendent montrer à un utilisateur final comment faire des choses comme télécharger un logiciel ou mettre à jour des jeux vidéo gratuitement, mais le lien dans les descriptions vidéo mène à des logiciels malveillants”, a déclaré le chercheur en sécurité Isaac Shaughnessy dans une analyse publiée aujourd’hui.
Il existe des preuves suggérant que de telles vidéos sont publiées à partir de comptes compromis, mais il est également possible que les acteurs malveillants à l’origine de l’opération aient créé des comptes éphémères à des fins de diffusion.
Toutes les vidéos incluent des URL Discord et MediaFire qui pointent vers des archives protégées par mot de passe qui conduisent finalement au déploiement du malware voleur.
Proofpoint a déclaré avoir identifié plusieurs groupes d’activités distincts propageant des voleurs via YouTube dans le but d’identifier les utilisateurs non professionnels. La campagne n’a pas été attribuée à un seul acteur ou groupe menaçant.
“Les techniques utilisées sont cependant similaires, y compris l’utilisation de descriptions vidéo pour héberger des URL menant à des charges utiles malveillantes et fournissant des instructions sur la désactivation de l’antivirus, ainsi que l’utilisation de fichiers de tailles similaires avec des ballonnements pour tenter de contourner les détections”, a déclaré Shaughnessy.