Исследователи из Rewterz опубликовали отчет о недавней спам-кампании, распространяющей банковский троян URSA/Mispadu, нацеленной на системы с испанским и португальским языками в качестве системных.
Вредоносная программа похищает учетные данные и была замечена в атаках на пользователей из Мексики, Испании, Португалии и близлежащих регионов. Вектор проникновения - спам, в котором злоумышленники создают ощущение срочности, ссылаясь на просроченные счета, и заставляют получателей загрузить .ZIP-файл с вредоносных URL-адресов. Этот файл содержит MSI со сценарием VBScript, за которым следуют три уровня обфускации, и в конечном итоге выполняется загрузчик/инжектор AutoIT. Последний сценарий VBScript также проверяет наличие виртуальных сред и в случае обнаружения завершает выполнение. Последствия включают кражу учетных данных и финансовые потери.
Indicators of Compromise
Domains
- contgeraklf.com
MD5
- 72dd2e81e09c96b4a1e350af0eb854f7
- cf001a6d188b96847b7835d0dafbfa91
SHA1
- 9675c96faaab861aa95fb7c2a55249243a4a3d49
- da54cc19d79bdcb89f8e00c874c31bc54f3df71b
SHA256
- 225341f69f153dcb90aea484f90149eaf7bb05c1ead55bde1cde2a568bed9848
- 4472c62d3d9982c1330ed143c81ee3cfa59fe916915bb6f6fb69e7d68f525219
