Mispadu Stealer-Erkennung: Eine neue Variante des Banking-Trojans zielt auf Mexiko ab und nutzt CVE-2023-36025 aus
Inhaltsverzeichnis:
Cybersecurity-Forscher haben kürzlich eine neue Variante einer schleichenden Informations-Diebstahl-Malware namens Mispadu Stealer enthüllt. Gegner hinter den jüngsten Angriffen auf mexikanische Nutzer, die den Mispadu-Banking-Trojaner nutzen, wurden dabei beobachtet, wie sie eine kürzlich behobene Windows SmartScreen-Sicherheitslücke ausnutzen, die verfolgt wird als CVE-2023-36025.
Mispadu Stealer erkennen
Mit Dutzenden von neuen Malware-Beispielen, die täglich im Cyberbereich auftauchen, suchen Cyberverteidiger nach modernen Lösungen, um Bedrohungen proaktiv zu erkennen. Die SOC Prime Plattform aggregiert über 300.000 Erkennungsalgorithmen, um Cyberverteidigern zu helfen, mögliche Cyberangriffe in den frühesten Phasen der Entwicklung zu identifizieren, einschließlich der neuesten Mispadu Infostealer-Kampagne.
Die neueste Regel unseres erfahrenen Threat Bounty Entwicklers Nattatorn Chuensangarun hilft, verdächtige Mispadu Infostealer-Aktivitäten zu erkennen, indem der Befehl Rundll32 verwendet wird, um die DLL-Nutzlast über den WebDAV-Client auszuführen. Die Erkennung ist mit 24 SIEM-, EDR-, XDR- und Data Lake-Lösungen kompatibel und wird dem MITRE ATT&CK framework v14 zugeordnet, wobei die Verteidigungsumgehungstaktik mit System Binary Proxy Execution (T1218) als entsprechende Technik behandelt wird.
Da die neue Mispadu-Kampagne sich auf CVE-2023-36025 stützt, um den Infektionsprozess fortzusetzen, können sich SOC Prime-Nutzer den Erkennungs-Stack zur Ausnutzung der Schwachstelle ansehen.
Um die Sammlung von Regeln zu Mispady Stealers bösartigen Aktivitäten zu erkunden, klicken Sie auf die Erkennungen erkunden -Schaltfläche unten. Alle Regeln werden von umfangreichen Metadaten begleitet, einschließlich ATT&CK-Referenzen, CTI-Links, Angriffstimeline, Triage-Empfehlungen und mehr.
Möchten Sie zur kollektiven Cyberverteidigung beitragen und Ihre Cybersicherheitsfähigkeiten entwickeln? Schließen Sie sich unserem Threat Bounty Programm für Cyberverteidiger an, reichen Sie Ihre Erkennungsregeln zur Veröffentlichung vor über 33.000 Sicherheitsfachleuten ein und erhalten Sie wiederkehrende Belohnungen für Ihren Beitrag.
Analyse des Mispadu Stealers
Forscher von Unit 42 haben kürzlich eine neue Variante des Mispadu Stealers aufgedeckt. Diese auf Delphi basierende Malware konzentriert sich auf Regionen und URLs, die mit Mexiko in Verbindung stehen und wurde entdeckt, während man nach einer kürzlich gepatchten Sicherheitslücke im Windows SmartScreen suchte, bekannt als CVE-2023-36025. have recently uncovered a new variant of Mispadu Stealer. This Delphi-based malware focuses on regions and URLs linked to Mexico and has been discovered while searching for a recently patched security bypass vulnerability in Windows SmartScreen known as CVE-2023-36025.
Mispadu Stealer ist auch Teil einer größeren Familie von Banking-Malware, wobei die Region Lateinamerika ihr Hauptziel ist. Letztere umfasst einen weiteren berüchtigten Banking-Trojaner namens Grandoreiro, der lange Zeit für Angriffe auf Brasilien, Spanien und Mexiko verwendet wurde, bis die Strafverfolgungsbehörden in Brasilien kürzlich Maßnahmen ergriffen haben, um ihn zu stören.
Mispadu verbreitet sich häufig über Spam-Kampagnen, bei denen Empfänger schädliche E-Mails mit einer ZIP-Datei und einer gefälschten URL erhalten. Als mehrstufige Malware-Variante wendet der Mispadu Stealer mehrere gegnerische Techniken an, die sich ständig weiterentwickeln und an Raffinesse zunehmen.
SmartScreen soll Benutzer vor nicht vertrauenswürdigen Quellen schützen, indem es sie auf potenziell gefährliche Websites und Dateien hinweist. Angreifer können diese Warnungen jedoch durch Ausnutzung von CVE-2023-36025 umgehen. Der Exploit erzeugt eine URL-Datei oder einen Hyperlink, der zu schädlichen Dateien führt, die SmartScreens Warnungen umgehen können. Einmal angeklickt, leitet die URL-Datei kompromittierte Benutzer zum Netzwerkanteil des Gegners weiter, um die Nutzlast auszuführen.
Im Spätherbst 2023 stieß das Unit 42-Team auf eine ähnliche URL-Datei, während es versuchte, SmartScreen zu umgehen. Die entdeckte URL-Datei stammte aus einem ZIP-Archiv, das vom Microsoft Edge-Browser heruntergeladen wurde und dazu bestimmt war, eine bösartige ausführbare Binärdatei zu starten und auszuführen. Weitere Forschungen zeigten ähnliche Nutzlasten, die von demselben C2-Server heruntergeladen wurden. Die C2-Infrastruktur und die offenbarten Malware-Fähigkeiten erwiesen sich als auffallend ähnlich denen, die von einer im späten Frühling 2023 entdeckten Mispadu-Probe genutzt werden.
Der exponentielle Anstieg von Banking-Malware-Varianten, die auf mehrere Regionen und Branchen abzielen, zusammen mit der ständigen Weiterentwicklung ihrer offensiven Fähigkeiten, schürt den Bedarf an proaktiver Verteidigung. SOC Primes Uncoder AI ermöglicht Sicherheitstechnikern, ihre Detection Engineering-Fähigkeiten durch die Kraft der erweiterten Intelligenz zu verbessern. Schreiben Sie Erkennungen gegen aufkommende und sich ständig ändernde Malware schneller und einfacher, übersetzen Sie Ihren Code in mehrere Cybersicherheitssprachen automatisiert und vereinfachen Sie die IOC-Abstimmung, um Ihre retrospektive Jagd auf das nächste Level zu heben.
