Trojan Mispadu atakuje

Trojan bankowy znany jako Mispadu rozszerzył swoją działalność poza Amerykę Łacińską (LATAM) i osoby hiszpańskojęzyczne, obierając za cel użytkowników we Włoszech, Polsce i Szwecji.

Według Morphisec odbiorcami trwającej kampanii są podmioty z branży finansowej, usługowej, produkującej pojazdy silnikowe, kancelarie prawne i obiekty komercyjne.

Mispadu, zwany także URSA, wyszedł na jaw w 2019 r., kiedy zaobserwowano przeprowadzanie kradzieży danych uwierzytelniających wymierzone w instytucje finansowe w Brazylii i Meksyku poprzez wyświetlanie fałszywych wyskakujących okienek. Szkodnik oparty na Delphi potrafi także robić zrzuty ekranu i przechwytywać naciśnięcia klawiszy.

Sekwencja infekcji analizowana przez Morphisec to wieloetapowy proces rozpoczynający się od załącznika PDF znajdującego się w wiadomościach e-mail z motywem faktury, który po otwarciu zachęca odbiorcę do kliknięcia łącza-miny-pułapki w celu pobrania pełnej faktury, co skutkuje dostarczeniem archiwum ZIP.

Pakiet ZIP jest dostarczany z instalatorem MSI lub skryptem HTA odpowiedzialnym za pobieranie i wykonywanie skryptu Visual Basic (VBScript) ze zdalnego serwera, który z kolei pobiera drugi skrypt VBScript, który ostatecznie pobiera i uruchamia kod Mispadu za pomocą narzędzia AutoIT skrypt. Przed pobraniem i wywołaniem kolejnego etapu skrypt przeprowadza kilka kontroli Anti-VM, w tym sprawdza model, producenta i wersję BIOS-u komputera oraz porównuje je z tymi powiązanymi z maszynami wirtualnymi

Ataki Mispadu charakteryzują się również wykorzystaniem dwóch odrębnych serwerów dowodzenia i kontroli (C2), jednego do pobierania ładunków z etapu pośredniego i końcowego, a drugiego do wydobywania skradzionych danych uwierzytelniających z ponad 200 usług. Obecnie na serwerze znajduje się ponad 60 000 plików.