Mispadu: Groźny Bankowy Trojan na europejskich i latynoamerykańskich rynkach

Mispadu – Bankowy Trojan grasujący w Europie i Ameryce Łacińskiej

Firma Morphisec Labs donosi o wzroście aktywności związanej z bankowym trojanem Mispadu, znanym również jako URSA. Trojan ten, odkryty po raz pierwszy przez ESET w 2019 roku, pierwotnie skoncentrowany był na rynkach LATAM oraz hiszpańskojęzycznych użytkownikach. Ostatnio jednak jego działania rozszerzyły się, obejmując również kraje europejskie.

Ekspansja trojana Mispadu

Mimo ekspansji geograficznej, Meksyk nadal pozostaje głównym celem kampanii. Skutkiem ataków jest kradzież tysięcy danych uwierzytelniających, włączając rekordy sięgające kwietnia 2023 roku. Zagrożenie to wykorzystuje zdobycze do wysyłania złośliwych wiadomości phishingowych, stanowiąc poważne ryzyko dla odbiorców.

Etapy ataku Mispadu

Atak Mispadu składa się z wielu etapów, zaczynając od phishingowych emaili z załącznikami PDF, poprzez etapy pobierania i uruchamiania skryptów VB Script, aż do finalnego etapu, gdzie trojan korzysta z narzędzi NirSoft do kradzieży danych uwierzytelniających z przeglądarek internetowych i klientów poczty.

Rozwiązanie Morphisec Labs

Mimo ciągłych modyfikacji, trojany finansowe mogą być skutecznie zatrzymane dzięki rozwiązaniu Automated Moving Target Defense (AMTD) oferowanemu przez Morphisec Labs. Dzięki niemu ataki są zatrzymywane we wczesnych etapach, uniemożliwiając instalację złośliwego oprogramowania, skryptów i payloadów.

Serwery C2 i dane wykradzione

W kampanii Mispadu wykorzystywane są dwa serwery C2: pierwszy służy do pobierania payloadów, a drugi do wycieku skradzionych danych. Dane w języku C2 datowane są od kwietnia 2023 roku, a obecnie na serwerze C2 znajduje się ponad 60 000 plików.

Przedstawiono również indeksy związane z typami ujawnień (IOCs) oraz konkretnymi identyfikatorami, takimi jak hasze plików PDF, MSI, VBS, adresy Bitcoin czy serwery C2 wykorzystywane w kampanii Mispadu.