Pelaku ancaman di belakang Trojan perbankan Mispadu adalah entitas terbaru yang menyalahgunakan kelemahan keamanan Windows SmartScreen yang kini telah diperbaiki, mengancam pengguna di Meksiko.
Serangan ini memanfaatkan varian baru dari malware yang pertama kali terdeteksi pada tahun 2019, menurut laporan terbaru dari Palo Alto Networks Unit 42.
Mispadu, yang disebarkan melalui surat phishing, adalah pencuri informasi yang dibangun dengan basis Delphi dan secara khusus menyerang korban di wilayah Amerika Latin (LATAM). Pada Maret 2023, Metabase Q mengungkapkan bahwa kampanye spam Mispadu telah berhasil mencuri tidak kurang dari 90.000 kredensial rekening bank sejak Agustus 2022.
Ini juga merupakan bagian dari keluarga malware perbankan LATAM yang lebih besar, termasuk Grandoreiro, yang baru-baru ini terungkap oleh otoritas penegak hukum Brasil.
Rantai infeksi terbaru yang diidentifikasi oleh Unit 42 memanfaatkan file pintasan internet jahat yang terdapat dalam arsip ZIP palsu yang menggunakan CVE-2023-36025 (CVSS score: 8.8), sebuah kelemahan yang memungkinkan bypass tingkat tinggi di Windows SmartScreen. Kelemahan ini telah diperbaiki oleh Microsoft pada November 2023.
"Pemintasan ini sederhana dan didasarkan pada parameter yang mengacu pada jaringan yang dibagikan, bukan pada URL. File .URL yang dibuat berisi tautan ke jaringan yang dibagikan oleh pelaku ancaman dengan file biner berbahaya," kata peneliti keamanan Daniela Shalev dan Josh Grunzweig.
Mispadu, setelah berhasil meluncur, secara selektif menargetkan korban berdasarkan lokasi geografis mereka (misalnya, Amerika atau Eropa Barat) dan konfigurasi sistem, dan kemudian berkomunikasi dengan server perintah-dan-kontrol (C2) untuk mengambil langkah-langkah selanjutnya, termasuk ekstraksi data.
Dalam beberapa bulan terakhir, kelemahan Windows telah dimanfaatkan oleh berbagai kelompok kejahatan siber untuk menyebarkan malware seperti DarkGate dan Phemedrone Stealer, dengan tujuan mencuri data sensitif dari komputer yang terinfeksi dan mengirimkan lebih banyak muatan berbahaya.
Meksiko juga menjadi sasaran utama beberapa kampanye selama setahun terakhir yang diketahui menyebarkan pencuri informasi dan Trojan akses jarak jauh seperti AllaKore RAT, AsyncRAT, dan Babylon RAT. Ini dilakukan oleh kelompok bermotivasi finansial yang dikenal sebagai TA558 dan telah menyerang sektor perhotelan dan perjalanan di wilayah LATAM sejak tahun 2018.
Perkembangan ini terjadi bersamaan dengan penjelasan Sekoia tentang cara kerja DICELOADER (alias Lizar atau Tirion), pengunduh khusus yang digunakan oleh kelompok kejahatan siber Rusia yang dikenal sebagai FIN7. Malware ini telah ditemukan dikirimkan melalui drive USB berbahaya (alias BadUSB) di masa lalu.
"DICELOADER dijatuhkan oleh skrip PowerShell bersama dengan malware lain dari gudang senjata intrusi seperti Carbanak RAT," kata perusahaan keamanan siber Perancis, sambil merinci metode kebingungan yang canggih untuk menyembunyikan alamat IP C2 dan komunikasi jaringan.
Ini juga diikuti oleh penemuan AhnLab tentang dua kampanye penambangan cryptocurrency berbahaya baru yang menggunakan arsip jebakan dan peretasan game untuk menyebarkan malware penambang yang menargetkan Monero dan Zephyr.
Source: https://thehackernews.com/2024/02/new-mispadu-banking-trojan-exploiting.html
Serangan ini memanfaatkan varian baru dari malware yang pertama kali terdeteksi pada tahun 2019, menurut laporan terbaru dari Palo Alto Networks Unit 42.
Mispadu, yang disebarkan melalui surat phishing, adalah pencuri informasi yang dibangun dengan basis Delphi dan secara khusus menyerang korban di wilayah Amerika Latin (LATAM). Pada Maret 2023, Metabase Q mengungkapkan bahwa kampanye spam Mispadu telah berhasil mencuri tidak kurang dari 90.000 kredensial rekening bank sejak Agustus 2022.
Ini juga merupakan bagian dari keluarga malware perbankan LATAM yang lebih besar, termasuk Grandoreiro, yang baru-baru ini terungkap oleh otoritas penegak hukum Brasil.
Rantai infeksi terbaru yang diidentifikasi oleh Unit 42 memanfaatkan file pintasan internet jahat yang terdapat dalam arsip ZIP palsu yang menggunakan CVE-2023-36025 (CVSS score: 8.8), sebuah kelemahan yang memungkinkan bypass tingkat tinggi di Windows SmartScreen. Kelemahan ini telah diperbaiki oleh Microsoft pada November 2023.
"Pemintasan ini sederhana dan didasarkan pada parameter yang mengacu pada jaringan yang dibagikan, bukan pada URL. File .URL yang dibuat berisi tautan ke jaringan yang dibagikan oleh pelaku ancaman dengan file biner berbahaya," kata peneliti keamanan Daniela Shalev dan Josh Grunzweig.
Mispadu, setelah berhasil meluncur, secara selektif menargetkan korban berdasarkan lokasi geografis mereka (misalnya, Amerika atau Eropa Barat) dan konfigurasi sistem, dan kemudian berkomunikasi dengan server perintah-dan-kontrol (C2) untuk mengambil langkah-langkah selanjutnya, termasuk ekstraksi data.
Dalam beberapa bulan terakhir, kelemahan Windows telah dimanfaatkan oleh berbagai kelompok kejahatan siber untuk menyebarkan malware seperti DarkGate dan Phemedrone Stealer, dengan tujuan mencuri data sensitif dari komputer yang terinfeksi dan mengirimkan lebih banyak muatan berbahaya.
Meksiko juga menjadi sasaran utama beberapa kampanye selama setahun terakhir yang diketahui menyebarkan pencuri informasi dan Trojan akses jarak jauh seperti AllaKore RAT, AsyncRAT, dan Babylon RAT. Ini dilakukan oleh kelompok bermotivasi finansial yang dikenal sebagai TA558 dan telah menyerang sektor perhotelan dan perjalanan di wilayah LATAM sejak tahun 2018.
Perkembangan ini terjadi bersamaan dengan penjelasan Sekoia tentang cara kerja DICELOADER (alias Lizar atau Tirion), pengunduh khusus yang digunakan oleh kelompok kejahatan siber Rusia yang dikenal sebagai FIN7. Malware ini telah ditemukan dikirimkan melalui drive USB berbahaya (alias BadUSB) di masa lalu.
"DICELOADER dijatuhkan oleh skrip PowerShell bersama dengan malware lain dari gudang senjata intrusi seperti Carbanak RAT," kata perusahaan keamanan siber Perancis, sambil merinci metode kebingungan yang canggih untuk menyembunyikan alamat IP C2 dan komunikasi jaringan.
Ini juga diikuti oleh penemuan AhnLab tentang dua kampanye penambangan cryptocurrency berbahaya baru yang menggunakan arsip jebakan dan peretasan game untuk menyebarkan malware penambang yang menargetkan Monero dan Zephyr.
Source: https://thehackernews.com/2024/02/new-mispadu-banking-trojan-exploiting.html