Gli attori minacciosi dietro al trojan bancario Mispadu hanno sfruttato una falla di sicurezza di Windows SmartScreen, ora corretta, per compromettere gli utenti in Messico. Questa nuova variante del malware, osservata per la prima volta nel 2019, viene diffusa tramite email di phishing ed è un ladro di informazioni basato su Delphi, noto per infettare specificamente le vittime nella regione dell’America Latina (LATAM). A marzo 2023, Metabase Q ha rivelato che le campagne di spam di Mispadu hanno raccolto non meno di 90.000 credenziali bancarie da agosto 2022.
Mispadu fa parte della più ampia famiglia di malware bancari LATAM, che include anche Grandoreiro, smantellato dalle autorità giudiziarie brasiliane la scorsa settimana.
La catena di infezione più recente identificata da Unit 42 utilizza file di collegamento Internet fasulli contenuti in file ZIP ingannevoli che sfruttano CVE-2023-36025 (punteggio CVSS: 8.8), una falla di sicurezza di alto livello che consente di bypassare Windows SmartScreen, corretta da Microsoft a novembre 2023.
Mispadu, una volta lanciato, rivela le sue vere intenzioni selezionando le vittime in base alla loro posizione geografica (ad esempio, Americhe o Europa occidentale) e alle configurazioni di sistema, per poi stabilire il contatto con un server di comando e controllo (C2) per l’esfiltrazione dei dati.
Negli ultimi mesi, la falla di Windows è stata sfruttata da diversi gruppi di cybercriminali per distribuire malware come DarkGate e Phemedrone Stealer. Il Messico è emerso anche come un obiettivo principale per diverse campagne nell’ultimo anno, che hanno diffuso ladri di informazioni e trojan di accesso remoto come AllaKore RAT, AsyncRAT e Babylon RAT, costituendo un gruppo motivato finanziariamente soprannominato TA558 che ha attaccato i settori dell’ospitalità e dei viaggi nella regione LATAM dal 2018.
Questo sviluppo arriva mentre Sekoia dettaglia il funzionamento interno di DICELOADER (noto anche come Lizar o Tirion), un downloader personalizzato collaudato utilizzato dal gruppo di e-criminalità russa noto come FIN7. Il malware è stato osservato essere distribuito tramite unità USB malevole (conosciute come BadUSB) in passato.
Inoltre, AhnLab ha scoperto due nuove campagne di mining di criptovalute malevole che impiegano archivi trappola e hack di giochi per distribuire malware minerario che estrae Monero e Zephyr.