تم ربط حصان طروادة مصرفي يُطلق عليه اسم Mispadu بحملات بريد عشوائي متعددة تستهدف دولًا مثل بوليفيا وتشيلي والمكسيك وبيرو والبرتغال بهدف سرقة بيانات الاعتماد وتسليم حمولات أخرى.
قال فريق Ocelot من شركة Metabase Q للأمن السيبراني في أمريكا اللاتينية في تقرير مشترك مع The Hacker News إن النشاط ، الذي بدأ في أغسطس 2022 ، مستمر حاليًا .
تم توثيق Mispadu (المعروف أيضًا باسم URSA) لأول مرة بواسطة ESET في نوفمبر 2019 ، واصفًا قدرته على ارتكاب سرقة الأموال وسرقة بيانات الاعتماد والعمل كباب خلفي من خلال التقاط لقطات الشاشة والتقاط ضغطات المفاتيح.
"تتمثل إحدى استراتيجياتهم الرئيسية في اختراق مواقع الويب الشرعية ، والبحث عن إصدارات ضعيفة من WordPress ، وتحويلها إلى خادم تحكم وتحكم لنشر البرامج الضارة من هناك ، وتصفية البلدان التي لا ترغب في إصابة ، وإفلات أنواع مختلفة من قال الباحثان فرناندو غارسيا ودان ريغالادو:
يُقال أيضًا أنها تشترك في أوجه التشابه مع أحصنة طروادة المصرفية الأخرى التي تستهدف المنطقة ، مثل Grandoreiro و Javali و Lampion . تستفيد سلاسل الهجوم التي تتضمن برامج دلفي الضارة من رسائل البريد الإلكتروني التي تحث المستلمين على فتح فواتير مزيفة متأخرة ، مما يؤدي إلى بدء عملية إصابة متعددة المراحل.
إذا قام الضحية بفتح مرفق HTML المرسل عبر البريد الإلكتروني العشوائي ، فإنه يتحقق من أن الملف قد تم فتحه من جهاز سطح المكتب ثم يعيد التوجيه إلى خادم بعيد لجلب المرحلة الأولى من البرامج الضارة.
تم تصميم أرشيف RAR أو ZIP ، عند إطلاقه ، للاستفادة من الشهادات الرقمية المارقة - أحدها برنامج Mispadu الضار والآخر مثبت AutoIT - لفك تشفير وتشغيل حصان طروادة عن طريق إساءة استخدام الأداة المساعدة لسطر أوامر certutil المشروعة .
تم تجهيز Mispadu لتجميع قائمة حلول مكافحة الفيروسات المثبتة على المضيف المخترق ، وسحب بيانات الاعتماد من Google Chrome و Microsoft Outlook ، وتسهيل استرداد البرامج الضارة الإضافية.
يتضمن ذلك قطارة Visual Basic Script المبهمة التي تعمل على تنزيل حمولة أخرى من مجال ذي ترميز ثابت ، وأداة وصول عن بعد قائمة على .NET يمكنها تشغيل أوامر صادرة عن خادم يتحكم فيه الممثل ، ومحمل مكتوب بلغة Rust التي ، في بدوره ، ينفذ محمل PowerShell لتشغيل الملفات مباشرة من الذاكرة.
علاوة على ذلك ، تستخدم البرامج الضارة شاشات متراكبة ضارة للحصول على بيانات اعتماد مرتبطة ببوابات الخدمات المصرفية عبر الإنترنت وغيرها من المعلومات الحساسة.
أشار Metabase Q إلى أن نهج الشهادة سمح لـ Mispadu بتجاوز الاكتشاف من خلال مجموعة واسعة من برامج الأمان وحصد أكثر من 90.000 من بيانات اعتماد الحساب المصرفي من أكثر من 17500 موقع ويب فريد.