Otkriveno je dvadeset različitih spam kampanja koje se oslanjaju na bankovni trojanac Mispadu koje ciljaju na žrtve u Čileu, Meksiku, Peruu i Portugalu.
Nalazi, koji pokazuju 90.518 kredencijala ukradenih sa ukupno 17.595 jedinstvenih web stranica, dolaze od Ocelot tima latinoameričke firme za kibernetičku bezbjednost Metabase Q.
To uključuje niz vladinih web stranica: 105 u Čileu, 431 u Meksiku i 265 u Peruu.
“Gledajući tehnike, taktike i arsenal korišten tokom ovih kampanja, nema sumnje, vrlo je sličan bankarskom trojancu Mispadu, ali sa novim komponentama koje nisu ranije viđene” napisali su istraživači bezbjednosti Metabase Q-a Fernando Garcia i Dan Regalado.
Prema njihovom nedavno objavljenom savjetu , Mispadu ima nove tehnike za olakšavanje infekcije i održavanje postojanosti. To uključuje lažne sertifikate za prikrivanje malicioznog softvera u početnoj fazi i novi backdoor baziran na .NET-u koji omogućava snimanje ekrana ciljanih žrtava, kao i slanje lažnih iskačućih prozora da ih podstaknu da kliknu na određene veze.
Nadalje, nadograđena verzija bankovnog trojanca Mispadu dolazi sa novim backdoor programiranim korištenjem Rust-a kojim, prema Metabase Q-u, još uvijek slabo rukuju alati za zaštitu krajnjih tačaka.
“Iako su Mispadu kampanje uspjele kompromitirati hiljade korisnika, stopa infekcije korporativnih korisnika (koji obično imaju kombinaciju antivirusa i EDR/XDR-a) je i dalje vrlo niska” pojašnjavaju Garcia i Regalado.
“Međutim, organizacije moraju pretpostaviti da će prije ili kasnije zaposleni biti kompromitovan, te stoga trebaju raditi na strategiji koja može pomoći da se smanji vrijeme za otkrivanje i odgovor na ove pretnje, dok istovremeno poboljšava SOC-ove sposobnosti za praćenje, otkrivanje i reagovanje.”
Još jedan backdoor koji se nedavno koristio za ciljanje latinoameričkih žrtava je DTrack, koji je navodno upotrijebila sjevernokorejska grupa Lazarus.
Izvor: Infosecurity Magazine
