Reklama:

Ekonomia. Krótka historia

Partnerzy Serwisu:

Quark
Polskie Stowarzyszenie Bitcoin

Mispadu: Groźny Bankowy Trojan na europejskich i latynoamerykańskich rynkach

Mispadu, znany też jako URSA, to bankowy Trojan aktualnie grasujący w Europie i Ameryce Łacińskiej. Odkryty po raz pierwszy w 2019 roku, atakuje głównie hiszpańskojęzycznych użytkowników. Morphisec Labs oferuje rozwiązanie AMTD, które skutecznie zatrzymuje ataki tego rodzaju malware'u. Kampania Mispadu korzysta z serwerów C2 i ma na celu kradzież danych uwierzytelniających.

Mispadu – Bankowy Trojan grasujący w Europie i Ameryce Łacińskiej

Firma Morphisec Labs donosi o wzroście aktywności związanej z bankowym trojanem Mispadu, znanym również jako URSA. Trojan ten, odkryty po raz pierwszy przez ESET w 2019 roku, pierwotnie skoncentrowany był na rynkach LATAM oraz hiszpańskojęzycznych użytkownikach. Ostatnio jednak jego działania rozszerzyły się, obejmując również kraje europejskie.

Ekspansja trojana Mispadu

Mimo ekspansji geograficznej, Meksyk nadal pozostaje głównym celem kampanii. Skutkiem ataków jest kradzież tysięcy danych uwierzytelniających, włączając rekordy sięgające kwietnia 2023 roku. Zagrożenie to wykorzystuje zdobycze do wysyłania złośliwych wiadomości phishingowych, stanowiąc poważne ryzyko dla odbiorców.

Etapy ataku Mispadu

Atak Mispadu składa się z wielu etapów, zaczynając od phishingowych emaili z załącznikami PDF, poprzez etapy pobierania i uruchamiania skryptów VB Script, aż do finalnego etapu, gdzie trojan korzysta z narzędzi NirSoft do kradzieży danych uwierzytelniających z przeglądarek internetowych i klientów poczty.

Rozwiązanie Morphisec Labs

Mimo ciągłych modyfikacji, trojany finansowe mogą być skutecznie zatrzymane dzięki rozwiązaniu Automated Moving Target Defense (AMTD) oferowanemu przez Morphisec Labs. Dzięki niemu ataki są zatrzymywane we wczesnych etapach, uniemożliwiając instalację złośliwego oprogramowania, skryptów i payloadów.

Serwery C2 i dane wykradzione

W kampanii Mispadu wykorzystywane są dwa serwery C2: pierwszy służy do pobierania payloadów, a drugi do wycieku skradzionych danych. Dane w języku C2 datowane są od kwietnia 2023 roku, a obecnie na serwerze C2 znajduje się ponad 60 000 plików.

Przedstawiono również indeksy związane z typami ujawnień (IOCs) oraz konkretnymi identyfikatorami, takimi jak hasze plików PDF, MSI, VBS, adresy Bitcoin czy serwery C2 wykorzystywane w kampanii Mispadu.

Reklama:

Zonda - Największa Polska giełda cyfrowych walut