Mispadu Stealer Detection: A New Banking Trojan Variant Targets Mexico While Exploiting CVE-2023-36025

サイバーセキュリティ研究者は、最近、Mispadu Stealerとして知られるステルス型情報盗難マルウェアの新しいバリアントを公開しました。最新の攻撃でメキシコのユーザーに対してMispaduバンキングトロイの木馬を利用する敵対者は、最近修正されたWindows SmartScreenの脆弱性を悪用していることが観察されています、追跡識別子は CVE-2023-36025.

Mispadu Stealerの検出 

毎日サイバードメインで数十の新しいマルウェアサンプルが出現し、サイバー防衛者は脅威を積極的に検出する最先端のソリューションを求めています。SOC Prime Platformは、開発の最初の段階でサイバー攻撃を特定するために、300K以上の検出アルゴリズムを集約しており、最新のMispadu情報スティーラーキャンペーンを含んでいます。 

WebDAVユーティリティを通じてDLLペイロードを呼び出すことによる、可能性のあるMispadu情報スティーラー実行（via process_creation）

当社の熟練したThreat Bounty開発者による最新のルール Nattatorn Chuensangarun は、WebDAVクライアントユーティリティを通じてDLLペイロードをロードするRundll32コマンドを実行することにより、Mispadu情報スティーラーの疑わしい活動を検出するのに役立ちます。この検出は、24のSIEM、EDR、XDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CKフレームワークv14 にマッピングされ、システムバイナリプロキシ実行（T1218）として対応する技術を用いることで防御回避戦術に対処しています。 

また、新しいMispaduキャンペーンがCVE-2023-36025に依存して感染プロセスを進めるため、SOC Primeのユーザーは 脆弱性の悪用に関連する 検出スタックを探索するかもしれません。

Mispady Stealerの悪意のある活動に関連するルールのコレクションを探索するには、 検出探索 下のボタンを押してください。すべてのルールには、ATT&CK参照、CTIリンク、攻撃タイムライン、トリアージ推奨事項などの豊富なメタデータが付随しています。

検出を探索する

集団的なサイバー防衛に貢献し、サイバーセキュリティスキルを開発したいですか？私たちの Threat Bountyプログラム に参加し、33K以上のセキュリティ専門家の前で公開するための検出ルールを提出し、貢献に対して再帰的な報酬を獲得してください。 

Mispadu Stealer解析

Unit 42の研究者 は、最近Mispadu Stealerの新しいバリアントを明らかにしました。このDelphiベースのマルウェアは、メキシコに関連する地域とURLを対象とし、Windows SmartScreenで最近修正されたセキュリティバイパス脆弱性CVE-2023-36025を検索中に発見されました。 

Mispadu Stealerは、ラテンアメリカ地域を主な対象とした、より広範なバンキングマルウェアファミリーの一部でもあり、これには長い間、ブラジル、スペイン、メキシコに対する攻撃で使用されていたもう一つの悪名高いバンキングトロイの木馬 Grandoreiroが含まれますが、最近ブラジルの法執行機関によって使用が妨害されました。 

Mispaduは通常、スパムキャンペーンを通じて広がり、受信者にZIPファイルと偽のURLが含まれた有害なメールが送られます。多段階のマルウェアバリアントであるMispaduスティーラーは、継続的に進化し、洗練される敵対者技術を適用しています。 

SmartScreenは、潜在的に危険なWebサイトやファイルを通知することによって、ユーザーを信頼できないソースから保護することを意図しています。しかし、攻撃者はCVE-2023-36025を武器化することでこれらの警告を回避できます。このエクスプロイトはURLファイルまたは悪意のあるファイルへリンクするハイパーリンクを作成し、SmartScreenの警告を回避できます。クリックすると、URLファイルはペイロードを実行するために妥協したユーザーを敵対者のネットワーク共有へリダイレクトします。

2023年の晩秋、Unit 42チームはSmartScreenをバイパスしようとする試みを検索中に類似のURLファイルを発見しました。検出されたURLファイルは、Microsoft EdgeブラウザによってダウンロードされたZIPアーカイブからのもので、悪意のある実行可能バイナリを起動と実行することを意図していました。 さらなる研究 により、同じC2サーブからダウンロードされた類似のペイロードが明らかになりました。C2インフラストラクチャと明らかになったマルウェアの機能には、2023年春後期に検出されたMispaduサンプルで活用されたものと顕著な類似性があることが証明されました。

複数の地域や業界を対象とするバンキングマルウェアバリアントの急激な増加と、攻撃能力の継続的な進化は、積極的な防御の必要性を高めています。SOC Primeの Uncoder AI は、強化されたインテリジェンスの力を背景に、セキュリティエンジニアが検出エンジニアリング能力を進化させることを可能にします。新たな進化するマルウェアに対して迅速かつ簡単に検出を書くことができ、複数のサイバーセキュリティ言語にコードを自動的に翻訳し、IOCマッチングを簡素化して、レトロスペクティブハンティングを次のレベルに引き上げます。