Mispadu расширяет зону деятельности: виртуальный захватчик уже у европейских ворот

Банковский троян Mispadu, ранее известный атаками на Латинскую Америку и испаноязычных пользователей, теперь нацелен на жителей Италии, Польши и Швеции. По данным исследовательской компании Morphisec, в числе целей кампании — представители финансового сектора, сферы услуг, производства автомобилей, юридических фирм и коммерческих учреждений.

Несмотря на расширение географии атак, основной целью злоумышленников остаётся Мексика. «Кампания привела к краже тысяч учётных данных, начиная с апреля 2023 года. Злоумышленники используют эти данные для организации мошеннических фишинговых рассылок, представляющих значительную угрозу для получателей», — говорит исследователь безопасности Арнольд Осипов.

Впервые троян Mispadu был обнаружен в 2019 году во время атак на финансовые учреждения Бразилии и Мексики, когда использовались поддельные всплывающие окна для кражи учётных данных. Вредонос, написанный на Delphi, также способен делать снимки экрана и перехватывать нажатия клавиш.

Основным методом распространения трояна являются фишинговые рассылки и эксплуатация уязвимости обхода защиты Windows SmartScreen ( CVE-2023-36025 с оценкой CVSS 8.8), что и позволяло заражать пользователей в Мексике.

Атаки Mispadu характеризуются многоэтапной схемой заражения, которая начинается с PDF-вложений в письмах на тему счетов-фактур. Открытие такого вложения приводит к переходу по вредоносной ссылке для загрузки «полной версии счёта», что ведёт к скачиванию специального ZIP-архива. Этот архив содержит либо MSI-установщик, либо HTA-скрипт, запускающий процесс загрузки и исполнения вредоносного кода через серию VBScript и AutoIT-скриптов после расшифровки и инъекции в память.

«Перед загрузкой и вызовом следующего этапа скрипт выполняет несколько проверок на виртуальную машину, включая запрос модели компьютера, производителя и версии BIOS, для сравнения с данными, ассоциированными с виртуальными машинами», — отметил Осипов.

Кроме того, для атак Mispadu используются два различных C2-сервера: один для получения промежуточных и окончательных этапов нагрузки, а другой для эксфильтрации украденных учётных данных более чем с 200 сервисов. По данным исследователей, на текущий момент на сервере для эксфильтрации хранится более 60 000 файлов.

Расширение сферы действия банковского трояна Mispadu подчёркивает важность глобальной бдительности и совместных усилий в борьбе с киберпреступностью. Современные технологии предоставляют злоумышленникам новые возможности для атак, требуя от пользователей и организаций постоянного обновления знаний в области кибербезопасности и применения эффективных инструментов защиты.