Détection du voleur Mispadu : Une nouvelle variante de cheval de Troie bancaire cible le Mexique tout en exploitant CVE-2023-36025
Table des matières :
Des chercheurs en cybersécurité ont récemment dévoilé une nouvelle variante d’un malware furtif voleur d’informations connu sous le nom de Mispadu Stealer. Les adversaires derrière les dernières attaques contre les utilisateurs mexicains exploitant le cheval de Troie bancaire Mispadu ont été observés en train d’exploiter une vulnérabilité de Windows SmartScreen récemment corrigée et suivie sous le nom de CVE-2023-36025.
Détecter Mispadu Stealer
Avec des dizaines de nouveaux échantillons de malwares qui apparaissent chaque jour dans le domaine cybernétique, les cyberdéfenseurs cherchent des solutions de pointe pour détecter les menaces de manière proactive. La plateforme SOC Prime agrège plus de 300 000 algorithmes de détection pour aider les cyberdéfenseurs à identifier les attaques informatiques possibles dès les premières étapes de développement, y compris la dernière campagne de vol d’informations Mispadu Stealer.
La dernière règle de notre développeur expérimenté de Threat Bounty Nattatorn Chuensangarun aide à détecter une activité suspecte du Mispadu Infostealer en exécutant la commande Rundll32 pour charger la charge utile DLL via l’utilitaire client WebDAV. La détection est compatible avec 24 solutions SIEM, EDR, XDR et Data Lake et est mappée au cadre MITRE ATT&CK v14 abordant la tactique d’évasion de défense avec l’exécution de proxy binaire système (T1218) comme technique correspondante.
De plus, étant donné que la nouvelle campagne de Mispadu repose sur CVE-2023-36025 pour poursuivre le processus d’infection, les utilisateurs de SOC Prime pourraient explorer la pile de détection liée à l’exploitation de la vulnérabilité.
Pour explorer la collection de règles associées à l’activité malveillante de Mispady Stealer, cliquez sur le Explorer la Détection bouton ci-dessous. Toutes les règles sont accompagnées d’une vaste métadonnée, y compris des références ATT&CK, des liens CTI, des chronologies d’attaques, des recommandations de triage et plus encore.
Envie de contribuer à la défense collective contre les cybermenaces et de développer vos compétences en cybersécurité ? Rejoignez notre Programme Threat Bounty pour les cyberdéfenseurs, soumettez vos règles de détection pour qu’elles soient publiées devant plus de 33 000 professionnels de la sécurité, et obtenez des récompenses récurrentes pour votre contribution.
Analyse de Mispadu Stealer
Les chercheurs de Unit 42 ont récemment découvert une nouvelle variante de Mispadu Stealer. Ce malware basé sur Delphi se concentre sur les régions et les URL liées au Mexique et a été découvert lors de la recherche d’une vulnérabilité de contournement de sécurité récemment corrigée dans Windows SmartScreen connue sous le nom de CVE-2023-36025.
Mispadu Stealer fait également partie d’une famille de malwares bancaires plus large, la région de l’Amérique latine étant sa cible principale. Cette dernière inclut un autre cheval de Troie bancaire néfaste connu sous le nom de Grandoreiro, qui a longtemps été utilisé dans des attaques contre le Brésil, l’Espagne et le Mexique jusqu’à ce que les forces de l’ordre au Brésil prennent récemment des mesures pour le perturber.
Mispadu se propage couramment via des campagnes de spam, dans lesquelles les destinataires reçoivent des e-mails nuisibles contenant un fichier ZIP et une URL factice. En tant que variante de malware à plusieurs stades, le Mispadu Stealer applique plusieurs techniques adversaires qui évoluent continuellement et augmentent en sophistication.
SmartScreen est conçu pour protéger les utilisateurs des sources non fiables en les avertissant des sites web et fichiers potentiellement dangereux. Cependant, les attaquants peuvent contourner ces avertissements en exploitant CVE-2023-36025. L’exploit crée un fichier URL ou un hyperlien menant à des fichiers nuisibles, pouvant échapper aux avertissements de SmartScreen. Une fois cliqué, le fichier URL redirige les utilisateurs compromis vers le partage réseau de l’adversaire pour exécuter la charge utile.
À la fin de l’automne 2023, l’équipe de Unit 42 est tombée sur un fichier URL similaire tout en recherchant des tentatives de contourner SmartScreen. Le fichier URL détecté provenait d’une archive ZIP téléchargée par le navigateur Microsoft Edge et était destiné à lancer et exécuter un binaire exécutable malveillant. Des recherches supplémentaires ont révélé des charges utiles similaires téléchargées depuis le même serveur C2. L’infrastructure C2 et les capacités de malware révélées se sont avérées présenter des similitudes frappantes avec celles exploitées par un échantillon de Mispadu détecté à la fin du printemps 2023.
La montée exponentielle des variantes de malwares bancaires ciblant plusieurs régions et industries, ainsi que l’avancement continu de leurs capacités offensives alimentent le besoin d’une défense proactive. L’ Uncoder AI de SOC Prime permet aux ingénieurs de sécurité d’améliorer leurs capacités de détection grâce à la puissance de l’intelligence augmentée. Rédigez des détections contre les malwares émergents et en constante évolution plus rapidement et plus simplement, traduisez votre code en plusieurs langages de cybersécurité de manière automatisée, et simplifiez la correspondance IOC pour mener votre chasse rétrospective au niveau supérieur.
