Mispadu银行木马瞄准拉丁美洲:90,000多份凭证被盗

米斯帕杜

一个名为Mispadu的银行木马与多个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙等国家的垃圾邮件活动有关,其目的是窃取凭证并提供其他有效载荷。

拉丁美洲网络安全公司Metabase Q的Ocelot团队在与黑客新闻分享的一份报告中表示,这项活动于2022年8月开始,目前正在进行中。

Mispadu(又名 URSA)于2019年11月首次被ESET记录,描述了其进行货币和凭据盗窃以及通过截屏和捕获击键充当后门的能力。

“他们的主要策略之一是破坏合法网站,搜索易受攻击的WordPress版本,将它们变成他们的命令和控制服务器,从那里传播恶意软件,过滤掉他们不想感染的国家,丢弃不同类型的基于被感染国家的恶意软件,”研究人员Fernando García 和Dan Regalado说。

据说它还与其他针对该地区的银行木马有相似之处,例如Grandoreiro、Javali和Lampion。涉及Delphi恶意软件的攻击链利用电子邮件消息敦促收件人打开虚假的逾期发票,从而触发多阶段感染过程。

如果受害者打开通过垃圾邮件发送的HTML附件,它会验证该文件是从桌面设备打开的,然后重定向到远程服务器以获取第一阶段的恶意软件。

RAR或ZIP存档在启动时旨在利用流氓数字证书(一个是Mispadu恶意软件,另一个是 AutoIT 安装程序)通过滥用合法的 certutil命令行实用程序来解码和执行木马。

Mispadu能够收集受感染主机上安装的防病毒解决方案列表,从Google Chrome和Microsoft Outlook窃取凭据,并促进检索其他恶意软件。

这包括一个混淆的Visual Basic Sc​​ript dropper,用于从硬编码域下载另一个有效载荷,一个基于 .NET 的远程访问工具,可以运行由参与者控制的服务器发出的命令,以及一个用Rust编写的加载器,在反过来,执行PowerShell加载程序以直接从内存运行文件。

更重要的是,该恶意软件利用恶意覆盖屏幕来获取与在线银行门户和其他敏感信息相关的凭据。

Metabase Q指出,certutil方法使Mispadu能够绕过各种安全软件的检测,并从超过17,500个独特的网站获取超过90,000个银行账户凭证。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5196.html

标签