گروه های خرابکار پشت تروجان بانکداری Mispadu از یک حفره امنیتی وصله شده در ویندوز SmartScreen برای هدف قرار دادن کاربران در مکزیک استفاده می کنند. این حمله از یک نسخه جدید از بدافزار Mispadu استفاده می کند که برای اولین بار در سال 2019 مشاهده شده بود.
گزارش واحد 42 از Palo Alto Networks، نشان می دهد که گروه های خرابکار پشت تروجان بانکداری Mispadu از یک به روزرسانی مخرب بهره برداری کرده اند تا کاربران در مکزیک را به خطر بیندازند. این حمله از یک نسخه جدید از بدافزار استفاده می کند که برای اولین بار در سال 2019 مشاهده شده بود.
Mispadu که از طریق ایمیل های فیشینگ منتشر می شود، یک سارق اطلاعات مبتنی بر زبان برنامه نویسی دلفی است که به طور خاص کاربران منطقه آمریکای لاتین را هدف قرار می دهد. گزارش Metabase Q در مارس 2023 نشان داد که کمپین های اسپم Mispadu از آگوست 2022، بیش از 90,000 اعتبارنامه حساب بانکی را جمع آوری کرده اند.
Mispadu بخشی از خانواده بزرگتر بدافزارهای بانکداری LATAM است که شامل Grandoreiro نیز می شود که هفته گذشته توسط مقامات اجرای قانون برزیل منهدم شد.
آخرین زنجیره آلودگی شناسایی شده توسط واحد 42، از فایل های میانبر مخرب اینترنت در داخل فایل های فشرده جعلی ZIP استفاده می کند که از CVE-2023-36025 (نمره CVSS: 8.8) سوء استفاده می کند. این حفره امنیتی جدی در ویندوز SmartScreen، در نوامبر 2023 توسط مایکروسافت برطرف شده بود.
پژوهشگران امنیت سایبری، Daniela Shalev و Josh Grunzweig گفتند: این سوء استفاده حول ایجاد یک فایل میانبر اینترنت (.URL) یا یک پیوند به فایل های مخرب به طور خاص طراحی شده، می چرخد که می تواند هشدارهای SmartScreen را دور بزند.
“این دور زدن ساده است و به پارامتری متکی است که به یک اشتراک شبکه به جای یک URL اشاره می کند. فایل .URL ساخته شده حاوی پیوندی به اشتراک شبکه یک بازیگر مخرب با یک باینری مخرب است.”
Mispadu پس از راه اندازی، با هدف قرار دادن گزینشی قربانیان بر اساس موقعیت جغرافیایی آنها (یعنی آمریکا یا اروپای غربی) و پیکربندی سیستم، رنگ واقعی خود را نشان می دهد و سپس برای سرقت بعدی داده ها با یک سرور فرماندهی و کنترل (C2) ارتباط برقرار می کند.
در ماه های اخیر، این حفره ویندوز توسط چندین گروه جرایم سایبری برای تحویل بدافزارهای DarkGate و Phemedrone Stealer مورد سوء استفاده قرار گرفته است.
مکزیک همچنین در سال گذشته به عنوان یکی از اهداف اصلی چندین کمپین که برای گسترش سرقت اطلاعات و تروجان های دسترسی از راه دور مانند AllaKore RAT، AsyncRAT، Babylon RAT شناسایی شده بودند، مورد توجه قرار گرفت. این گروه با انگیزه مالی که با نام TA558 شناخته می شود از سال 2018 به بخش های مهمان نوازی و گردشگری در منطقه LATAM حمله کرده است.
این تحول در حالی صورت می گیرد که Sekoia جزئیات عملکرد داخلی DICELOADER (با نام مستعار Lizar یا Tirion)، یک دانلودر سفارشی با سابقه طولانی که توسط گروه جرایم سایبری روسی با نام FIN7 مورد استفاده قرار می گیرد، شرح داده است. این بدافزار در گذشته از طریق درایوهای USB مخرب (به نام BadUSB) مشاهده شده است.
شرکت امنیت سایبری فرانسوی Sekoia گفت: DICELOADER توسط یک اسکریپت PowerShell به همراه سایر بدافزارهای مجموعه نفوذ مانند Carbanak RAT رها می شود. و روش های پنهان سازی پیشرفته آن برای پنهان کردن آدرس های IP C2 و ارتباطات شبکه را ستایش کرد.
این خبر پس از کشف AhnLab از دو کمپین استخراج ارز دیجیتال مخرب جدید است که از آرشیوهای “تله انفجاری” و “هک بازی” برای استخراج ارزهای Monero و Zephyr استفاده می کنند.
- بیشتر بخوانید:
- هک اسنپ فود: پرونده شرکت در دست بررسی پلیس فتا
- نماینده مجلس خواستار مدیریت واحد سایبری با مدیریت نظامیان شد
- تغییرات برنامه باگ بانتی اسنپ؛ افزایش پاداشها
امتیاز شما به این مطلب