Rilevamento del Mispadu Stealer: Una Nuova Variante di Trojan Bancario Prende di Mira il Messico Sfruttando CVE-2023-36025

I ricercatori di cybersecurity hanno recentemente rivelato una nuova variante di un malware furtivo che ruba informazioni noto come Mispadu Stealer. Gli avversari dietro i recenti attacchi contro gli utenti messicani sfruttano il Trojan bancario Mispadu sono stati osservati sfruttare una vulnerabilità recentemente corretta in Windows SmartScreen tracciata come CVE-2023-36025.

Rileva Mispadu Stealer 

Con dozzine di nuovi campioni di malware che emergono quotidianamente nel dominio informatico, i difensori cyber cercano soluzioni all’avanguardia per rilevare le minacce in modo proattivo. La piattaforma SOC Prime aggrega oltre 300K algoritmi di rilevamento per aiutare i difensori informatici a identificare possibili attacchi informatici nelle fasi iniziali di sviluppo, inclusa la campagna infostealer Mispadu più recente. 

Possibile esecuzione di Mispadu Infostealer invocando il payload DLL tramite l’utilità WebDAV (tramite process_creation)

L’ultima regola del nostro esperto sviluppatore Threat Bounty Nattatorn Chuensangarun aiuta a rilevare attività sospette di Mispadu Infostealer eseguendo il comando Rundll32 per caricare il payload DLL tramite l’utilità client WebDAV. Il rilevamento è compatibile con 24 soluzioni SIEM, EDR, XDR e Data Lake ed è mappato al MITRE ATT&CK framework v14 affrontando la tattica di evasione tramite esecuzione di binari di sistema come proxy (T1218) come tecnica corrispondente. 

Inoltre, considerando che la nuova campagna Mispadu si basa su CVE-2023-36025 per procedere con il processo di infezione, gli utenti SOC Prime potrebbero esplorare lo stack di rilevamento relativo allo sfruttamento della vulnerabilità.

Per esplorare la raccolta di regole associate all’attività malevola di Mispadu Stealer, premi il Esplora il Rilevamento pulsante qui sotto. Tutte le regole sono accompagnate da ampi metadati, incluse le referenze ATT&CK, i link CTI, le linee temporali degli attacchi, le raccomandazioni per il triage e altro ancora.

Esplora i Rilevamenti

Fervente di contribuire alla difesa cibernetica collettiva e sviluppare competenze di cybersecurity? Unisciti al nostro Programma Threat Bounty per i difensori informatici, invia le tue regole di rilevamento per essere pubblicate davanti a oltre 33K professionisti della sicurezza e ottieni ricompense ricorrenti per il tuo contributo. 

Analisi di Mispadu Stealer

I ricercatori di Unit 42 hanno recentemente scoperto una nuova variante di Mispadu Stealer. Questo malware basato su Delphi si concentra su regioni e URL collegati al Messico ed è stato scoperto durante la ricerca di una vulnerabilità bypass di sicurezza recentemente corretta in Windows SmartScreen conosciuta come CVE-2023-36025. 

Mispadu Stealer è anche parte di una più ampia famiglia di malware bancari, con l’America Latina come suo obiettivo principale. Quest’ultima include un altro trojan bancario nefando noto come Grandoreiro, che è stato a lungo utilizzato in attacchi contro Brasile, Spagna e Messico fino a quando recentemente le forze dell’ordine in Brasile non hanno preso misure per interromperlo. 

Mispadu si diffonde comunemente tramite campagne di spam, nelle quali i destinatari ricevono email dannose con un file ZIP e un URL falso. Come variante di malware a più stadi, lo stealer Mispadu applica molteplici tecniche avversarie che si evolvono e si rafforzano in sofisticazione. 

SmartScreen è progettato per proteggere gli utenti da fonti non affidabili notificandoli di siti web e file potenzialmente pericolosi. Tuttavia, gli attaccanti possono bypassare questi avvertimenti sfruttando CVE-2023-36025. L’exploit crea un file URL o un collegamento ipertestuale che conduce a file dannosi, che riescono a evitare gli avvisi di SmartScreen. Una volta cliccato, il file URL reindirizza gli utenti compromessi alla condivisione di rete degli avversari per eseguire il payload.

Nell’autunno 2023, il team di Unit 42 ha trovato un file URL simile durante la ricerca di tentativi di aggirare SmartScreen. Il file URL rilevato era incluso in un archivio ZIP scaricato dal browser Microsoft Edge ed era destinato a lanciare e eseguire un binario eseguibile dannoso. Ulteriori ricerche hanno rivelato payload simili scaricati dallo stesso server C2. L’infrastruttura C2 e le capacità malware rivelate hanno dimostrato di avere straordinarie somiglianze con quelle sfruttate da un campione di Mispadu rilevato alla fine della primavera 2023.

L’aumento esponenziale delle varianti di malware bancario che mirano a molteplici regioni e settori, insieme al continuo avanzamento delle loro capacità offensive, alimenta la necessità di una difesa proattiva. L’ Uncoder AI di SOC Prime consente agli ingegneri di sicurezza di migliorare le loro capacità di Ingegneria del Rilevamento supportate dalla potenza dell’intelligenza aumentata. Scrivi rilevamenti contro malware emergenti e in continua evoluzione più velocemente e più semplicemente, traduci il tuo codice in molteplici linguaggi di cybersecurity in maniera automatizzata e semplifica il matching dei IOC per portare la tua caccia retrospettiva al livello successivo.