Подразделение исследований кибербезопасности Unit 42 компании Palo Alto Networks недавно обнаружило новый вариант вредоносного ПО, нацеленного на пользователей через уязвимость в Windows SmartScreen.
Mispadu — это информатор на базе Delphi, целью которого является извлечение конфиденциальной информации с конечных точек жертв, включая банковские реквизиты.
В прошлом году операторы Миспаду украли около 90 000 реквизитов банковских счетов. Хакерские новости Утверждения со ссылкой на отчеты Metabase Q.
Миспаду гонится за вашими данными
Mispadu использует уязвимость, отмеченную как CVE-2023-36025. Это серьезная ошибка обхода Windows SmartScreen, которую Microsoft исправила в ноябре прошлого года. Уровень серьезности 8,8. Хакеры злоупотребляют этой уязвимостью, создавая собственный файл .URL или гиперссылку, которая затем указывает на вредоносный файл, способный обходить предупреждения SmartScreen.
SmartScreen — это компонент защиты от вредоносных программ, который запускается из облака и включен в несколько продуктов Microsoft, начиная с Windows 8 и включая Edge.
«Этот эксплойт предполагает создание специально созданного файла ярлыка в Интернете (.URL) или гиперссылки, указывающей на вредоносные файлы, которые могут обходить предупреждения SmartScreen», — заявили исследователи Unit 42 в своем отчете. «Обходной путь прост и основан на параметре, указывающем на общий сетевой ресурс, а не на URL-адрес. Созданный файл .URL содержит ссылку на общий сетевой ресурс злоумышленника, содержащий вредоносный двоичный файл».
По его словам, Mispadu нацелен только на жертв в Латинской Америке, а последняя кампания в первую очередь ставит под угрозу пользователей в Мексике.
Вредоносная программа — далеко не единственный вариант, использующий уязвимость SmartScreen. Ранее в этом году, в конце января, эксперты предупредили, что Phemedrone Stealer использует ту же уязвимость для извлечения конфиденциальных данных. Исследователи Trend Micro заявили, что это вредоносное ПО захватило конфиденциальную информацию, хранящуюся в веб-браузерах, криптовалютных кошельках и платформах обмена сообщениями, таких как Telegram, Steam и Discord. Он также делает снимки экрана и извлекает данные об оборудовании, местоположении и операционной системе. Украденная информация затем передается злоумышленникам через Telegram или их сервер управления и контроля (C&C).
Больше от TechRadar Pro
