Detecção de Mispadu Stealer: Uma Nova Variante de Trojan Bancário Alveja o México Enquanto Explora a CVE-2023-36025
Índice:
Pesquisadores de cibersegurança recentemente revelaram uma nova variante de um malware furtivo de roubo de informações conhecido como Mispadu Stealer. Adversários por trás dos últimos ataques contra usuários mexicanos utilizando o cavalo de Troia bancário Mispadu foram observados explorando uma vulnerabilidade recentemente corrigida no Windows SmartScreen, rastreada como CVE-2023-36025.
Detectar Mispadu Stealer
Com dezenas de novas amostras de malware emergindo diariamente no domínio cibernético, defensores cibernéticos buscam soluções de ponta para detectar ameaças proativamente. A plataforma SOC Prime agrega mais de 300 mil algoritmos de detecção para ajudar os defensores cibernéticos a identificar possíveis ataques cibernéticos nos estágios mais iniciais de desenvolvimento, incluindo a mais recente campanha de roubo de informações Mispadu.
A regra mais recente do nosso experiente desenvolvedor do Threat Bounty Nattatorn Chuensangarun ajuda a detectar atividades suspeitas de Mispadu Infostealer ao executar o comando Rundll32 para carregar o payload DLL através do utilitário cliente WebDAV. A detecção é compatível com 24 soluções SIEM, EDR, XDR e Data Lake, e mapeada para o framework MITRE ATT&CK v14 abordando a tática de Evasão de Defesa com a Execução de Proxy de Código Binário do Sistema (T1218) como a técnica correspondente.
Além disso, tendo em vista que a nova campanha Mispadu depende do CVE-2023-36025 para prosseguir com o processo de infecção, os usuários do SOC Prime podem explorar o conjunto de detecção relacionado à exploração da vulnerabilidade.
Para explorar a coleção de regras associadas à atividade maliciosa do Mispadu Stealer, pressione o botão Explorar Detecção abaixo. Todas as regras são acompanhadas por metadados extensos, incluindo referências ATT&CK, links CTI, cronogramas de ataques, recomendações de triagem e mais.
Ansioso para contribuir para a defesa cibernética coletiva e desenvolver suas habilidades em cibersegurança? Junte-se ao nosso Programa de Recompensas por Ameaças para defensores cibernéticos, envie suas regras de detecção para serem publicadas na frente de mais de 33 mil profissionais de segurança e receba recompensas recorrentes por sua contribuição.
Análise do Mispadu Stealer
Pesquisadores da Unidade 42 recentemente descobriram uma nova variante do Mispadu Stealer. Este malware baseado em Delphi foca em regiões e URLs ligados ao México e foi descoberto enquanto buscavam por uma vulnerabilidade de desvio de segurança recentemente corrigida no Windows SmartScreen, conhecida como CVE-2023-36025.
O Mispadu Stealer também faz parte de uma família mais ampla de malware bancário, com a região da América Latina sendo seu principal alvo. Este último inclui outro cavalo de Troia bancário nefasto conhecido como Grandoreiro, que foi amplamente utilizado em ataques contra Brasil, Espanha e México até que as autoridades brasileiras recentemente tomaram medidas para interrompê-lo.
O Mispadu comumente se espalha por meio de campanhas de spam, nas quais os destinatários recebem e-mails nocivos com um arquivo ZIP e um URL falso. Como uma variante de malware em múltiplas etapas, o ladrão Mispadu aplica várias técnicas de adversário que estão continuamente evoluindo e aumentando em sofisticação.
O SmartScreen é destinado a proteger os usuários de fontes não confiáveis, notificando-os sobre sites e arquivos potencialmente perigosos. No entanto, os atacantes podem contornar esses avisos ao explorar o CVE-2023-36025. A exploração cria um arquivo URL ou um hiperlink levando a arquivos prejudiciais, que podem escapar dos avisos do SmartScreen. Uma vez clicado, o arquivo URL redireciona os usuários comprometidos para o compartilhamento de rede do adversário para executar o payload.
No final do outono de 2023, a equipe da Unidade 42 encontrou um arquivo URL semelhante ao procurar tentativas de contornar o SmartScreen. O arquivo URL detectado originou-se de um arquivo ZIP que foi baixado pelo navegador Microsoft Edge e foi destinado a lançar e executar uma binária executável maliciosa. Pesquisas adicionais revelaram payloads semelhantes baixados do mesmo servidor C2. A infraestrutura C2 e as capacidades de malware reveladas provaram ter semelhanças marcantes com aquelas aproveitadas por uma amostra do Mispadu detectada no final da primavera de 2023.
O aumento exponencial das variantes de malware bancário visando múltiplas regiões e indústrias, juntamente com o avanço contínuo de suas capacidades ofensivas, alimenta a necessidade de defesa proativa. O Uncoder AI do SOC Prime permite que engenheiros de segurança avancem suas capacidades de Engenharia de Detecção apoiadas pelo poder da inteligência aumentada. Escreva detecções contra malwares emergentes e sempre em mudança de maneira mais rápida e simples, traduza seu código em várias linguagens de cibersegurança de forma automatizada e simplifique o correspondência de IOC para levar sua caça retrospectiva ao próximo nível.
