以拉丁美洲為目標的銀行木馬盜取多達90,000份賬戶憑證

一個名為Mispadu的銀行木馬與多個針對玻利維亞、智利、墨西哥、秘魯和葡萄牙等國家的垃圾郵件活動有關，其目的是竊取憑證并提供其他有效載荷。

拉丁美洲網絡安全公司 Metabase Q 的 Ocelot 團隊在與黑客新聞分享的一份報告中表示，這項活動于 2022 年 8 月開始，目前正在進行中。

certutil 方法使 Mispadu 能夠繞過各種安全軟件的檢測，并從超過 17,500 個獨特的網站獲取超過 90,000 個銀行賬戶憑證，其中包括許多政府網站：智利 105 個，墨西哥431 個，秘魯265 個。

Mispadu（又名 URSA）于 2019 年 11 月首次被 ESET記錄，描述了其進行貨幣和憑據盜竊以及通過截屏和捕獲擊鍵充當后門的能力。

“他們的主要策略之一是破壞合法網站，搜索易受攻擊的 WordPress 版本，將它們變成他們的命令和控制服務器，從那里傳播惡意軟件，過濾掉他們不想感染的國家，丟棄不同類型的基于被感染國家的惡意軟件。”研究人員 Fernando García 和 Dan Regalado 說。

據說它還與其他針對該地區的銀行木馬有相似之處，例如Grandoreiro、Javali和Lampion。涉及Delphi 惡意軟件的攻擊鏈利用電子郵件消息敦促收件人打開虛假的逾期發票，從而觸發多階段感染過程。

如果受害者打開通過垃圾郵件發送的 HTML 附件，它會驗證該文件是從桌面設備打開的，然后重定向到遠程服務器以獲取第一階段的惡意軟件。

RAR 或 ZIP 存檔在啟動時旨在利用流氓數字證書（一個是 Mispadu 惡意軟件，另一個是 AutoIT 安裝程序）通過濫用合法的 certutil 命令行實用程序來解碼和執行木馬。

Mispadu 能夠收集受感染主機上安裝的防病毒解決方案列表，從 Google Chrome 和 Microsoft Outlook 竊取憑據，并促進檢索其他惡意軟件。

這包括一個混淆的 Visual Basic Script dropper，用于從硬編碼域下載另一個有效載荷，一個基于.NET 的遠程訪問工具，可以運行由參與者控制的服務器發出的命令，以及一個用 Rust 編寫的加載器，再反過來，執行 PowerShell 加載程序以直接從內存運行文件。

更重要的是，該惡意軟件利用惡意覆蓋屏幕來獲取與在線銀行門戶和其他敏感信息相關的憑據。