Исследователи Unit 42 недавно обнаружили активность, приписываемую Mispadu Stealer, скрытному инфопохитителю, о котором впервые сообщили в 2019 году. Unit 42 обнаружили эту угрозу во время поиска уязвимости SmartScreen CVE-2023-36025.
При поиске эксплуатации уязвимости CVE-2023-36025 в данном случае мы обнаружили семейство инфопохитителей, нацеленных на определенные регионы и URL-адреса, которые чаще всего ассоциируются с гражданами Мексики. Unit 42 выявили новый вариант Mispadu Stealer.
Mispadu Stealer
Mispadu Stealer - это известный и скрытный банковский троянец, о котором ESET впервые сообщила в ноябре 2019 года.Написанный на Delphi, он первоначально был нацелен на жертв в Бразилии и Мексике. Unit 42 обнаружили образцы, которые приписывают Mispadu Stealer, после недавней публикации уязвимости обхода Windows SmartScreen, идентифицированной как CVE-2023-36025. В процессе поиска попыток обхода Unit 42 обнаружили новый вариант Mispadu, который был создан и запущен до публикации CVE и, возможно, не предназначался для обхода этой функции.
Indicators of Compromise
Domains
- moscovatech.com
- plinqok.com
- trilivok.com
- xalticainvest.com
URLs
- 24.199.98.128/expediente38/8869881268/8594605066.exe
- 24.199.98.128/impresion73/5464893028/8024251449.exe
- 24.199.98.128/verificacion58/6504926283/3072491614.exe
- http://trilivok.com/4g3031ar0/cb6y1dh/it.php
- https://plinqok.com/3dzy14ebg/buhumo0/it.php
SHA256
- 03bdae4d40d3eb2db3c12d27b76ee170c4813f616fec5257cf25a068c46ba15f
- 1b7dc569508387401f1c5d40eb448dc20d6fb794e97ae3d1da43b571ed0486a0
- 46d20fa82c936c5784f86106838697ab79a1f6dc243ae6721b42f0da467eaf52
- 8e1d354dccc3c689899dc4e75fdbdd0ab076ac457de7fb83645fb735a46ad4ea
- bc25f7836c273763827e1680856ec6d53bd73bbc4a03e9f743eddfc53cf68789
- e136717630164116c2b68de31a439231dc468ddcbee9f74cca511df1036a22ea
- fb3995289bac897e881141e281c18c606a772a53356cc81caf38e5c6296641d4
