Na celowniku m.in. sektor finansów i kancelarie prawne
Jak podaje Morphisec, trwająca kampania ma wpływ na różne sektory, w tym finanse, usługi, produkcję pojazdów silnikowych, kancelarie prawne i obiekty komercyjne. Arnold Osipov, badacz bezpieczeństwa, zauważył w niedawnym raporcie, że „Pomimo ekspansji geograficznej Meksyk pozostaje głównym
celem”. Ujawnił, że w ramach tej kampanii naruszono tysiące danych uwierzytelniających, niektóre z kwietnia 2024 r. Te skradzione dane uwierzytelniające są wykorzystywane do wysyłania złośliwych wiadomości e-mail typu phishing, stwarzając znaczne ryzyko dla osób, które je otrzymują.
Mispadu został po raz pierwszy wykryty w 2019 r. podczas przeprowadzania kradzieży danych uwierzytelniających wymierzonych w instytucje finansowe w Brazylii i Meksyku poprzez wyświetlanie fałszywych wyskakujących okienek. Wirus oparty na Delphi może także wykonywać zrzuty ekranu i
przechwytywać naciśnięcia klawiszy. Jest on zazwyczaj rozpowszechniany za pośrednictwem wiadomości e-mail będących spamem, ale w ostatnich atakach wykorzystano załataną lukę obejścia zabezpieczeń Windows SmartScreen w celu narażenia użytkowników w Meksyku.
Zaczyna się od PDF-a z imitacją faktury
Proces infekcji rozpoczyna się od załącznika PDF w wiadomościach e-mail z motywem faktury. Gdy odbiorca otworzy załącznik, zostanie poproszony o kliknięcie łącza-miny-pułapki w celu pobrania pełnej faktury, która w rzeczywistości jest archiwum ZIP. Ten plik ZIP zawiera
instalator MSI lub skrypt HTA, który pobiera i wykonuje skrypt Visual Basic (VBScript) ze zdalnego serwera. Ten skrypt VBScript pobiera następnie drugi skrypt VBScript, który ostatecznie pobiera i uruchamia ładunek Mispadu przy użyciu skryptu AutoIT, ale dopiero po jego odszyfrowaniu i wstrzyknięciu do
pamięci przez moduł ładujący.
Ataki Mispadu charakteryzują się wykorzystaniem dwóch odrębnych serwerów dowodzenia i kontroli (C2). Jeden serwer pobiera ładunki z etapu pośredniego i końcowego, podczas gdy drugi wydobywa skradzione dane uwierzytelniające z ponad 200 usług. Obecnie na serwerze znajduje się ponad 60
000 plików.
Informacja ta pojawiła się w raporcie DFIR, w którym szczegółowo opisano włamanie z lutego 2023 r., które polegało na niewłaściwym użyciu złośliwych plików programu Microsoft OneNote w celu upuszczenia IcedID, który następnie został wykorzystany do upuszczenia oprogramowania ransomware Cobalt
Strike, AnyDesk i Nokoyawa. Microsoft ogłosił rok temu, że zacznie blokować 120 rozszerzeń osadzonych w plikach OneNote, aby zapobiec ich nadużywaniu w celu dostarczania złośliwego oprogramowania.
YouTube jako kanał informacji?
Firma Proofpoint zajmująca się bezpieczeństwem dla przedsiębiorstw poinformowała, że kilka kanałów YouTube promujących złamane i pirackie gry wideo służy jako kanały dostarczania złodziom informacji, takich jak Lumma Stealer, Stealc i Vidar, poprzez umieszczanie złośliwych linków w
opisach filmów.
Isaac Shaughnessy, badacz bezpieczeństwa, stwierdził w opublikowanej dzisiaj analizie, że „filmy mają pokazać użytkownikowi końcowemu, jak na przykład bezpłatnie pobrać oprogramowanie lub zaktualizować gry wideo, ale łącza w opisach filmów prowadzą do złośliwego oprogramowania”.
Istnieją dowody sugerujące, że te filmy wideo zostały opublikowane z przejętych kont, ale możliwe jest również, że ugrupowania zagrażające stojące za tą operacją utworzyły krótkotrwałe konta w celach dystrybucyjnych.
