Аналитики Palo Alto Networks предупредили о банковском трояне Mispadu, который использует свежую уязвимостью обхода Windows SmartScreen для компрометации пользователей в Мексике.
Новый вариант малвари, известной с 2019 года, был обнаружен недавно и по-прежнему распространяется через фишинговые письма. Mispadu представляет собой стилер, написанный на Delphi и известный тем, что в основном он атакует пользователей в странах Латинской Америки (LATAM).
В марте 2023 года компания Metabase Q обнаружила, что с августа 2022 года операторы Mispadu сумели собрать не менее 90 000 учетных данных от чужих банковских счетов.
Как сообщают специалисты Palo Alto Networks, обнаруженная ими цепочка заражения использует вредоносные файлы ярлыков, содержащиеся в ZIP-архивах, которые эксплуатируют проблему CVE-2023-36025 (8,8 балла по шкале CVSS) для обхода Windows SmartScreen.
Напомним, что этот баг был устранен компанией Microsoft в ноябре 2023 года, и тогда сообщалось, что уязвимость позволяет вредоносному ярлыку Internet Shortcut обойти проверки и связанные с ними предупреждения безопасности.
«Эксплойт основан на создании специального файла ярлыка (.URL) или гиперссылки, указывающей на вредоносные файлы, которые могут обойти запреты SmartScreen, — сообщают исследователи. — Обход прост и основан на параметре, который ссылается на сетевой ресурс, а не на URL. То ест вредоносный файл .URL содержит ссылку на сетевой ресурс злоумышленника с вредоносным бинарным файлом».
Mispadu тщательно выбирает жертв, обращая внимание на их географическое положение (Америка или Западная Европа) и конфигурацию системы, а затем устанавливает контакт с управляющим сервером для последующей кражи данных.
Стоит отметить, что в последние месяцы уязвимость CVE-2023-36025 уже неоднократно использовалась малварью. Так, этот баг уже взяли на вооружение операторы вредоносов DarkGate и Phemedrone, которые похищают конфиденциальные данные с зараженных машин и доставляю в системы жертв дополнительные полезные нагрузки.