新 Mispadu 银行木马出现，其巧妙利用 Windows SmartScreen 缺陷进行攻击

Mispadu 银行木马背后的威胁行为者已成为最新利用现已修补的 Windows SmartScreen 安全绕过漏洞来危害墨西哥用户的人。

Palo Alto Networks Unit 42在上周发表的一份报告中表示，这些攻击涉及2019年首次观察到的恶意软件的新变种。

Mispadu 通过网络钓鱼邮件传播，是一种基于德尔福的信息窃取程序，专门感染拉丁美洲 （LATAM） 地区的受害者。2023 年 3 月，Metabase Q 透露，自 2022 年 8 月以来，Mispadu 垃圾邮件活动收集了不少于 90,000 个银行账户凭据。

它也是更大的拉丁美洲银行恶意软件家族的一部分，包括上周被巴西执法当局拆除的Grandoreiro。

Unit 42 识别的最新感染链采用虚假 ZIP 存档文件中包含的流氓互联网快捷方式文件，这些文件利用 CVE-2023-36025（CVSS 分数：8.8），这是 Windows SmartScreen 中的高严重性绕过漏洞。Microsoft于 2023 年 11 月解决了这个问题。

“这个漏洞围绕着创建一个专门制作的互联网快捷方式文件（.URL）或指向恶意文件的超链接，这些文件可以绕过SmartScreen的警告，“安全研究人员Daniela Shalev和Josh Grunzweig。

“绕过很简单，并且依赖于引用网络共享而不是 URL 的参数。精心制作的 .URL 文件包含指向威胁参与者的网络共享的链接，其中包含恶意二进制文件。

Mispadu 一旦启动，就会根据受害者的地理位置（即美洲或西欧）和系统配置有选择地瞄准受害者，从而揭示其真实面目，然后继续与命令和控制 （C2） 服务器建立联系以进行后续数据泄露。

近几个月来，多个网络犯罪集团在野外利用了 Windows 漏洞，在最近几个月内提供了 DarkGate 和 Phemedrone Stealer 恶意软件。

在过去一年中，墨西哥也成为几个活动的首要目标，这些活动被发现传播信息窃取程序和远程访问木马，如AllaKore RAT，AsyncRAT，Babylon RAT。这构成了一个名为 TA558 的以经济为动机的团体，自 2018 年以来一直攻击拉丁美洲地区的酒店和旅游业。

这一发展是在Sekoia详细介绍了DICELOADER（又名Lizar或Tirion）的内部工作原理之际进行的，DICELOADER是一个经过时间考验的自定义下载器，被俄罗斯电子犯罪集团用作FIN7。过去曾观察到该恶意软件通过恶意 USB 驱动器（又名 BadUSB）传递。

这家法国网络安全公司表示：“DICELOADER是由PowerShell脚本以及入侵集武器库的其他恶意软件（如Carbanak RAT）丢弃的，”并称其复杂的混淆方法来隐藏C2 IP地址和网络通信。

在此之前，AhnLab还发现了两个新的恶意加密货币挖矿活动，这些活动使用诱杀档案和游戏黑客来部署挖掘门罗币和Zephyr的矿工恶意软件。