バンキングトロイの木馬「ミスパドゥ」は、ラテンアメリカ(LATAM)およびスペイン語圏の個人を対象とした攻撃から、イタリア、ポーランド、スウェーデンのユーザーをターゲットに活動の範囲を広げています。
Morphisecによると、現在進行中のキャンペーンの対象は、金融、サービス、自動車製造、法律事務所、商業施設など様々な分野の組織です。
「地理的な拡大にもかかわらず、メキシコが主要なターゲットである」と、セキュリティ研究者アーノルド・オシポフは先週公表された報告書で述べています。
「このキャンペーンは、2023年4月までに数千の認証情報が盗まれた結果となり、脅威の主体はこれらの認証情報を利用して、受取人にとって重大な脅威となる悪意あるフィッシングメールを仕組んでいます。」
ミスパドゥは、また「URSA」とも呼ばれ、2019年にブラジルとメキシコの金融機関を狙った認証情報盗難活動を行っているところが観測されました。偽のポップアップウィンドウを表示することでこれを実行しています。このDelphiベースのマルウェアは、スクリーンショットの撮影やキーストロークのキャプチャも可能です。
通常、スパムメールを通じて配布されるこのマルウェアは、最近では修正されたWindows SmartScreenのセキュリティバイパスの欠陥(CVE-2023-36025、CVSSスコア:8.8)を利用した攻撃チェーンを経てメキシコのユーザーを侵害しています。
Morphisecによって分析された感染シーケンスは、請求書テーマのメールに添付されたPDFを開くことで開始され、受取人が完全な請求書をダウンロードするために罠にかかったリンクをクリックするよう促されます。これにより、ZIPアーカイブが配信されます。
このZIPには、MSIインストーラーまたはHTAスクリプトが含まれており、これが遠隔サーバーからVisual Basic Script(VBScript)を取得し、実行する役割を担っています。その後、2番目のVBScriptがダウンロードされ、AutoITスクリプトを使用してMispaduペイロードを起動しますが、ローダーによってメモリに注入および復号化された後に実行されます。
「この[2番目の]スクリプトは非常に複雑に難読化されており、DLLで言及された同じ復号化アルゴリズムを使用しています」とオシポフは述べています。
「次の段階をダウンロードおよび起動する前に、スクリプトは複数の対VMチェックを行います。これには、コンピュータのモデル、製造者、およびBIOSバージョン