Die Bedrohungsakteure hinter dem Banking-Trojaner Mispadu haben nun eine bereits behobene Sicherheitslücke in Windows SmartScreen ausgenutzt, um Benutzer in Mexiko anzugreifen.
Die Angriffe erfolgen über eine neue Variante der Malware, die erstmals 2019 beobachtet wurde, so das Unternehmen Palo Alto Networks Unit 42 in einem letzten Woche veröffentlichten Bericht.
Über Phishing-E-Mails verbreitet sich Mispadu, ein auf Delphi basierender Informationssammler, der bekannt dafür ist, gezielt Opfer in der lateinamerikanischen Region (LATAM) zu infizieren. Im März 2023 enthüllte Metabase Q, dass Mispadu-Spam-Kampagnen seit August 2022 mindestens 90.000 Bankkontoinformationen gesammelt haben.
Es handelt sich auch um eine Variante der lateinamerikanischen Banking-Malware, zu der auch Grandoreiro gehört, die von den brasilianischen Strafverfolgungsbehörden letzte Woche zerschlagen wurde.
Die neueste Infektionskette, die von Unit 42 identifiziert wurde, verwendet gefälschte Internet-Verknüpfungsdateien in gefälschten ZIP-Archivdateien, die die CVE-2023-36025 (CVSS-Score: 8.8) ausnutzen, eine schwerwiegende Sicherheitslücke in Windows SmartScreen. Microsoft hat sie im November 2023 behoben.
„Dieser Exploit dreht sich um die Erstellung einer speziell erstellten Internet-Verknüpfungsdatei (.URL) oder eines Hyperlinks, der auf bösartige Dateien verweist, die SmartScreen-Warnungen umgehen können“, sagten die Sicherheitsforscher Daniela Shalev und Josh Grunzweig.
„Die Umgehung ist einfach und basiert auf einem Parameter, der auf einen Netzwerkfreigabepfad anstatt auf eine URL verweist. Die erstellte .URL-Datei enthält einen Link zu einem Netzwerkfreigabepfad des Bedrohungsakteurs mit einer bösartigen Binärdatei.“
Mispadu zielt selektiv auf Opfer basierend auf ihrer geografischen Lage (Amerika oder Westeuropa) und ihren Systemkonfigurationen ab und nimmt dann Kontakt zu einem Command-and-Control (C2)-Server auf, um Daten abzufangen.
In den letzten Monaten wurde die Windows-Sicherheitslücke von mehreren Cybercrime-Gruppen genutzt, um Malware wie DarkGate und Phemedrone Stealer zu verbreiten.
Mexiko ist in den letzten Jahren auch zu einem Hauptziel mehrerer Kampagnen geworden, bei denen Informationssammler und Remote-Zugriffstrojaner wie AllaKore RAT, AsyncRAT und Babylon RAT verbreitet wurden. Dies wird einer finanziell motivierten Gruppe namens TA558 zugeschrieben, die seit 2018 die Hotel- und Reisebranche in der LATAM-Region angegriffen hat.
Dies geschieht zeitgleich mit der Veröffentlichung von Details über die Arbeitsweise von DICELOADER (auch bekannt als Lizar oder Tirion), einem bewährten benutzerdefinierten Downloader, den die russische E-Crime-Gruppe FIN7 verwendet. Die Malware wurde in der Vergangenheit über bösartige USB-Laufwerke (aka BadUSB) verbreitet.
„DICELOADER wird von einem PowerShell-Skript zusammen mit anderer Malware des Intrusion-Sets wie Carbanak RAT abgelegt“, sagte das französische Cybersicherheitsunternehmen und wies auf seine ausgefeilten Verschleierungsmethoden hin, um die C2-IP-Adressen und die Netzwerkkommunikation zu verbergen.