Специалисты Palo Alto Networks Unit 42 выявили атаки на пользователей Мексиси, осуществляемые с использованием трояна Mispadu, нацеленного на кражу банковских данных. Вирус, впервые обнаруженный в 2019 году, распространяется через фишинговые сообщения и использует уязвимость в Windows SmartScreen, которая была устранена в ноябре 2023 года.
Mispadu, разработанный на языке программирования Delphi, активно атакует пользователей в Латинской Америке, пишет Securitylab. С августа 2022 года через спам-кампании было украдено не менее 90 000 банковских учетных данных. Троян является частью большого семейства вредоносных программ, направленных на кражу данных с банковских аккаунтов в Латинской Америке.
Новый способ заражения, идентифицированный Unit 42, включает использование поддельных ярлыков Интернета в ZIP-архивах, эксплуатирующих уязвимость CVE-2023-36025 (оценка CVSS: 8.8). Эксплойт обходит защиту SmartScreen за счет создания специально оформленных файлов с ярлыками интернета, указывающими на сетевые ресурсы злоумышленников, вместо обычных URL-адресов.
После запуска Mispadu определяет географическое расположение и конфигурацию системы жертвы, после чего устанавливает связь с сервером управления и контроля (Command and Control Server, C2) для дальнейшей эксфильтрации данных.
Компания Microsoft в ноябре выпустила обновление безопасности для устранения критической уязвимости нулевого дня в технологии защиты SmartScreen CVE-2023-36025 в операционной системе Windows. Однако эксплойт уже использовался хакерами до выхода обновления для обхода защиты SmartScreen и внедрения вредоносного кода мимо проверок безопасности в Windows Defender.