Банковский троян Mispadu, также известный как Ursa, представляет собой серьезную угрозу для пользователей на испанском и португальском языках. С момента своего появления в 2019 году он продемонстрировал сложные цепочки заражения и активно нацеливался как на частных лиц, так и на предприятия.
Методы Заражения
Одним из наиболее известных методов заражения является использование удаленного HTA-файла (HTML-приложение).
Недавние случаи показали, что злоумышленники атакуют мексиканские компании через:
- фишинговые электронные письма с поддельными счетами-фактурами, такими как «Factura.pdf»;
- запуск HTA-файла, который инициирует загрузку удаленного JavaScript-файла.
Хотя первоначальные попытки доступа к JavaScript были пресечены из-за приостановки учетной записи хостинга, альтернативные методы позволили восстановить код, который затем точно выполняет команды на машине жертвы, включая создание файла VBS (Visual Basic Script) для установки Mispadu.
Функции и Механизмы Защиты
Mispadu функционирует по модели «вредоносное ПО как услуга» (MaaS) и обладает рядом мощных функций:
- кража учетных данных из почтовых клиентов и веб-браузеров;
- извлечение финансовых данных;
- захват и изменение информации о биткойн-кошельке из буфера обмена;
- кейлоггинг для регистрации действий пользователей.
Ключевым аспектом работы Mispadu является его способность самообороны. Троянец может прекращать выполнение, если обнаруживает, что системный языковой идентификатор не соответствует испанскому или португальскому. Это подчеркивает его целенаправленную стратегию атак.
Защита от Анализа
Согласно исследователям безопасности, Mispadu осуществляет проверки на предмет работы в виртуализированной среде. Это позволяет минимизировать риск анализа и обратного проектирования вредоносного ПО.
Развитие и Адаптация
Разработка Mispadu продолжается, о чем свидетельствует использование различных языков сценариев для заражения. В прошлом он использовал:
- HTA-файлы;
- PowerShell;
- AutoIt.
Такой подход указывает на постоянное совершенствование тактики для уклонения от обнаружения и повышения эффективности атак.
Адаптивность Mispadu в сочетании с его целенаправленным подходом подчеркивает постоянную угрозу, которую он представляет для пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Опасный банковский троян Mispadu: эволюция угрозы и методы заражения".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.