Il trojan bancario Mispadu, precedentemente focalizzato su America Latina e utenti di lingua spagnola, ha allargato il suo raggio d’azione in Europa, prendendo di mira utenti in Italia, Polonia e Svezia. Questa campagna in corso colpisce entità nel settore finanziario, dei servizi, della produzione di veicoli a motore, studi legali e strutture commerciali, secondo quanto riportato da Morphisec.
La minaccia di Mispadu
Originariamente rilevato nel 2019, Mispadu si è fatto conoscere per le sue attività di furto di credenziali mirate a istituzioni finanziarie in Brasile e Messico, attraverso l’uso di falsi popup. Il malware, basato su Delphi, è in grado anche di catturare screenshot e registrare i tasti digitati. Distribuito principalmente tramite email di spam, Mispadu ha sfruttato una vulnerabilità di bypass della sicurezza di Windows SmartScreen (CVE-2023-36025) per compromettere gli utenti in Messico.
Il processo di infezione
L’infezione inizia con un allegato PDF in email a tema fattura che, una volta aperto, induce il destinatario a cliccare su un link trappola per scaricare la fattura completa, portando al download di un archivio ZIP. Questo contiene un installer MSI o uno script HTA che scarica ed esegue uno script Visual Basic (VBScript) da un server remoto, il quale a sua volta scarica ed esegue il payload di Mispadu attraverso uno script AutoIT, dopo averlo decriptato e iniettato in memoria.
Le caratteristiche degli attacchi Mispadu
Gli attacchi Mispadu si distinguono per l’uso di due server di comando e controllo (C2) distinti: uno per il recupero dei payload intermedi e finali e un altro per l’esfiltrazione delle credenziali rubate da oltre 200 servizi. Attualmente, il server contiene più di 60.000 file. Questa campagna ha portato al furto di migliaia di credenziali, con registrazioni che risalgono ad aprile 2023, mettendo in pericolo la sicurezza di innumerevoli utenti e aziende.
Risposta alla minaccia
Nonostante l’ampiezza e la gravità di questa campagna, le misure di difesa e risposta sono complesse e richiedono un’azione coordinata da parte degli enti di sicurezza e delle aziende colpite. La consapevolezza e l’aggiornamento costante delle difese informatiche sono essenziali per proteggersi da minacce come Mispadu anche in Europa, che continuano a evolversi e ad adattarsi per sfruttare nuove vulnerabilità e tecniche di inganno.
