Банковский троянец Mispadu наращивает активность, обходя системы защиты почты

Изначально Mispadu распространялся через вредоносную рекламу, но сейчас злоумышленники перешли на целенаправленные фишинговые атаки. Наиболее распространенным методом доставки остаются письма с вложенными PDF-файлами, которые инициируют цепочку скриптов. Эти письма успешно обходят многоуровневые системы безопасной электронной почты и попадают в почтовые ящики сотрудников по всему миру. Основными целями по-прежнему являются латиноамериканские страны, особенно Мексика и Бразилия, однако были зафиксированы случаи получения писем и в Европе.

Троянец разрабатывается и используется одной продвинутой постоянной угрозой (APT-группой), которую разные исследовательские компании отслеживают под псевдонимами TA 2725, Malteiro и Manipulated Caiman. По оценкам экспертов, эта группа могла заработать более 55 миллионов долларов за время эксплуатации Mispadu.

Современные версии Mispadu демонстрируют значительное развитие по сравнению с первоначальными образцами. Они используют сложные методы противодействия анализу, обфусцированные скрипты, динамически генерируемые полезные данные, а также легитимные файлы для маскировки своей деятельности. Важной новой функцией стала возможность самораспространения через контакты Microsoft Outlook на зараженном компьютере. Это позволяет троянцу рассылать новые фишинговые письма без прямого вмешательства злоумышленников, значительно расширяя масштаб атак.

С технической точки зрения, Mispadu в 2025 году практически всегда доставляется через динамически создаваемый HTA-файл, который, в свою очередь, загружает JavaScript и VBS-скрипт. В 69% случаев используется цепочка HTA -> JavaScript -> VBS -> Mispadu. Троянец исполняется в виде скомпилированного скрипта AutoIT с использованием легального интерпретатора, что усложняет его обнаружение системами EDR. После запуска вредоносный код и легитимные утилиты Nirsoft для извлечения паролей внедряются в законный процесс "attrib.exe".

Целевой функционал Mispadu включает кражу учетных данных из браузеров, почтовых и FTP-клиентов, перехват ввода с клавиатуры, снятие скриншотов и манипуляции с буфером обмена для подмены криптовалютных адресов. В отличие от многих других латиноамериканских банковских троянцев, Mispadu внедряет относительно мало контента на сайты банков, но при этом поддерживает широкий список целей, включая банки за пределами Латинской Америки и криптобиржи. Для географического таргетинга троянец использует комбинацию проверки IP-адреса и языковых/региональных настроек системы.

Языком большинства (около 81%) фишинговых писем, доставляющих Mispadu, является испанский, примерно 18% кампаний используют португальский язык. Исследователи отмечают, что в последний год качество подделки брендов в письмах снизилось, хотя изначально злоумышленники активно имитировали такие компании, как BBVA Bancomer.

Постоянное развитие методов доставки и функциональности Mispadu, а также его способность к самораспространению делают эту угрозу особенно устойчивой и опасной. Эксперты рекомендуют организациям усиливать осведомленность сотрудников о фишинге, внедрять многофакторную аутентификацию и применять комплексные решения безопасности, способные анализировать поведение приложений и выявлять подозрительные цепочки исполнения, подобные используемым этим троянцем.

IPv4

• 140.82.18.85

MD5

• 0adb9b817f1df7807576c2d7068dd931