Un cheval de Troie bancaire appelé Mispadu a été lié à plusieurs campagnes de spam ciblant des pays comme la Bolivie, le Chili, le Mexique, le Pérou et le Portugal dans le but de voler des informations d’identification et de fournir d’autres charges utiles.
L’activité, qui a débuté en août 2022, est actuellement en cours, a déclaré l’équipe Ocelot de la société latino-américaine de cybersécurité Metabase Q dans un communiqué. rapport partagé avec The Hacker News.
Mispadu (alias URSA) était d’abord documenté par ESET en novembre 2019, décrivant sa capacité à perpétrer le vol d’argent et d’informations d’identification et à agir comme une porte dérobée en prenant des captures d’écran et en capturant les frappes.
« L’une de leurs principales stratégies consiste à compromettre les sites Web légitimes, à rechercher des versions vulnérables de WordPress, à les transformer en leur serveur de commande et de contrôle pour diffuser des logiciels malveillants à partir de là, en filtrant les pays qu’ils ne souhaitent pas infecter, en abandonnant différents types de malware basé sur le pays infecté », ont déclaré les chercheurs Fernando García et Dan Regalado.
On dit aussi partager des similitudes avec d’autres chevaux de Troie bancaires ciblant la région, comme Grandoreiro, Javaliet Lampion. Les chaînes d’attaque impliquant le logiciel malveillant Delphi exploitent les messages électroniques invitant les destinataires à ouvrir de fausses factures en souffrance, déclenchant ainsi un processus d’infection en plusieurs étapes.
Si une victime ouvre la pièce jointe HTML envoyée via le courrier indésirable, elle vérifie que le fichier a été ouvert à partir d’un appareil de bureau, puis le redirige vers un serveur distant pour récupérer le logiciel malveillant de première étape.
L’archive RAR ou ZIP, lorsqu’elle est lancée, est conçue pour utiliser des certificats numériques escrocs – l’un qui est le malware Mispadu et l’autre, un programme d’installation AutoIT – pour décoder et exécuter le cheval de Troie en abusant du légitime utilitaire de ligne de commande certutil.
Mispadu est équipé pour rassembler la liste des solutions antivirus installées sur l’hôte compromis, siphonner les informations d’identification de Google Chrome et Microsoft Outlook, et faciliter la récupération de logiciels malveillants supplémentaires.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.
Cela inclut un dropper Visual Basic Script obscurci qui sert à télécharger une autre charge utile à partir d’un domaine codé en dur, un outil d’accès à distance basé sur .NET qui peut exécuter des commandes émises par un serveur contrôlé par un acteur et un chargeur écrit en Rust qui, en tour, exécute un chargeur PowerShell pour exécuter des fichiers directement à partir de la mémoire.
De plus, le logiciel malveillant utilise des écrans superposés malveillants pour obtenir les informations d’identification associées aux portails bancaires en ligne et à d’autres informations sensibles.
Metabase Q a noté que l’approche certutil a permis à Mispadu de contourner la détection par une large gamme de logiciels de sécurité et de récolter plus de 90 000 informations d’identification de compte bancaire sur plus de 17 500 sites Web uniques.
