Mispadu Banking-Trojaner expandiert nach Europa
Der Banking-Trojaner Mispadu hat seine Angriffe von Lateinamerika und spanischsprachigen Nutzern auf Italien, Polen und Schweden ausgeweitet. Die aktuelle Kampagne zielt neben dem Finanzwesen auch auf Unternehmen in den Bereichen Dienstleistungen, Kfz-Herstellung, Anwaltskanzleien und gewerbliche Einrichtungen ab. Bereits jetzt sind Tausende von Anmeldedaten kompromittiert.
Trotz der Ausweitung auf andere Länder bleibt Mexiko weiterhin das Hauptziel, wie Sicherheitsforscher von Morphisec in einem kürzlich veröffentlichten Bericht feststellen. Die Kampagne hat zu Tausenden gestohlener Zugangsdaten geführt, deren Aufzeichnungen bis April 2023 zurückreichen. Der Angreifer verwendet diese Zugangsdaten, um gefährliche Phishing-E-Mails zu senden, die eine ernsthafte Bedrohung für die Empfänger darstellen.
Mispadu, auch als URSA bekannt, trat erstmals 2019 auf, als es Zugangsdaten von Finanzinstituten in Brasilien und Mexiko stahl, indem es gefälschte Pop-up-Fenster anzeigte. Diese auf Delphi basierende Malware kann auch Screenshots fertigen und Tastatureingaben aufzeichnen. Die neuesten Angriffswellen wurden in der Regel über Spam-E-Mails verbreitet und nutzten eine mittlerweile behobene Sicherheitslücke in Windows SmartScreen (CVE-2023-36025, CVSS-Score: 8.8), um Benutzer in Mexiko zu kompromittieren.
Die Infektionssequenz, die von Morphisec analysiert wurde, beginnt mit einem mehrstufigen Prozess über einen PDF-Anhang in E-Mails mit Rechnungsthema. Der Empfänger wird aufgefordert, nach dem Öffnen des PDFs auf einen gefälschten Link zu klicken, um die vollständige Rechnung herunterzuladen. Dadurch gelangt man zu einem ZIP-Archiv.
In diesem ZIP-Archiv befindet sich entweder ein MSI-Installationsprogramm oder ein HTA-Skript. Das HTA-Skript ruft ein Visual Basic Script (VBScript) von einem entfernten Server ab und führt es aus. Dieses VBScript lädt ein zweites VBScript herunter, das schließlich die Mispadu-Nutzlast mit einem AutoIT-Skript herunterlädt, entschlüsselt und mithilfe eines Loaders in den Speicher injiziert.
Morphisec bemerkte: „Dieses zweite Skript ist stark verschleiert und verwendet denselben Entschlüsselungsalgorithmus wie die DLL.“ Bevor das Skript zur nächsten Stufe übergeht, führt es mehrere Anti-VM-Prüfungen durch, wie die Überprüfung des Computermodells, Herstellers und der BIOS-Version, um festzustellen, ob es sich um eine virtuelle Maschine handelt.
Die Mispadu-Angriffe verwenden zwei verschiedene Command-and-Control-Server (C2). Einer dieser Server wird genutzt, um Daten in verschiedenen Stufen abzurufen, während der andere für das Ausleiten gestohlener Anmeldedaten von über 200 Diensten zuständig ist. Mehr als 60.000 Dateien befinden sich derzeit auf dem Server.
In einem DFIR-Bericht (Digital Forensics and Incident Response) wurde ein Einbruch im Februar 2023 beschrieben, bei dem bösartige Microsoft OneNote-Dateien verwendet wurden, um IcedID, Cobalt Strike, AnyDesk und die Nokoyawa-Ransomware zu verbreiten. Microsoft kündigte vor einem Jahr an, 120 Erweiterungen in OneNote-Dateien zu blockieren, um deren Missbrauch zur Verbreitung von Malware zu verhindern.
Malware kommt über YouTube-Videos für Spiele-Cracks
Laut der Sicherheitsfirma Proofpoint verwenden mehrere YouTube-Kanäle, die geknackte und raubkopierte Videospiele bewerben, bösartige Links in ihren Videobeschreibungen, um Informationsdiebstahlprogramme wie Lumma Stealer, Stealc und Vidar zu verbreiten.
Laut Proofpoint tarnen sich die Videos gegenüber dem Endbenutzer als Anleitung, die genau beschreibt, wie man zum Beispiel Software für lau herunterlädt oder Videospiele kostenlos aktualisiert, aber die Links in den Videobeschreibungen führen tatsächlich zu Malware.
Es gibt Anzeichen dafür, dass solche Videos von gehackten Konten hochgeladen werden – in einem Fall wurde ein Kanal mit über 800.000 Abonnenten übernommen. Es ist jedoch auch möglich, dass die Angreifer hinter dieser Operation kurzlebige eigene Konten erstellt haben, um ihre Inhalte zu verbreiten.
Alle Videos enthalten Discord- und MediaFire-Links, die auf passwortgeschützte Archive verweisen. Wenn diese Archive geöffnet werden, wird Stealer-Malware installiert.
Proofpoint hat mehrere verschiedene Aktivitätscluster identifiziert, die Stealer-Malware über YouTube verbreiten – mit dem Ziel, vor allem private Benutzer zu erreichen. Die Kampagne wurde keiner bestimmten Bedrohungsgruppe zugeschrieben.
Das Unternehmen berichtet: „Die verwendeten Techniken ähneln sich jedoch, einschließlich der Platzierung von bösartigen URLs in den Videobeschreibungen und Anleitungen zur Deaktivierung von Antivirenprogrammen. Außerdem werden ähnliche Dateigrößen verwendet, um Erkennungen zu umgehen.“