Novi Mispadu kradljivac zaobilazi Windows SmartScreen
Sigurnosni istraživači Unit42 kompanije Palo Alto Networks su otkrili novi Mispadu kradljivac koji zaobilazi Windows SmartScreen, iskorištavajući sada već ažuriranu ranjivost kako bi kompromitovao korisnike.
MISPADU KRADLJIVAC
Mispadu kradljivac je poznat kao prikriveni bankarski trojanac koji je prvi put otkrila kompanija ESET u novembru 2019. godine. Radi se o višestepenom zlonamjernom softveru, koji sadrži različite tehnike koje njegovi programeri stalno mijenjaju, a napisan u Delphi programskom jeziku sa originalnom namjenom za ciljanje korisnika u Brazilu i Meksiku. Tokom prošle godine, njegove verzije su imale više promjena, ali su neke tehnike ostale slične. Tipičan metod distribucije za Mispadu uključuje kampanje neželjene pošte, gdje žrtve dobijaju zlonamjerne elektronske poruke koje sadrže ZIP datoteku koja sadrži obmanjujući URL.
Novi otkriveni uzorci Mispadu kradljivca su se pojavili nakon nedavne objave ranjivosti koja zaobilazi Windows SmartScreen, označena je kao CVE-2023-36025, a zanimljivo je da se kampanja proširila i na evropske regione koji ranije nisu bili meta.
RANJIVOST CVE-2023-36025
Ranjivost CVE-2023-36025 je označena kao ranjivost zaobilaženja bezbjednosnih funkcija u okviru funkcije Windows SmartScreen koja je dizajnirana da da zaštiti korisnike od nepouzdanih izvora upozoravajući ih na potencijalno štetne internet lokacije i datoteke.
Iskorištavanje ove ranjivosti se odnosi na kreiranje posebno datoteke prečice za internet (.url) ili hiperveza koja ukazuje na zlonamjerne datoteke koje mogu da zaobiđu upozorenja SmartScreen funkcionalnost. Iskorištavanje ranjivosti se jednostavno oslanja na parametar koji upućuje na mrežno dijeljenje, a ne na URL. Napravljena .url datoteka sadrži vezu do mrežnog dijeljenja zlonamjernog aktera sa zlonamjernom binarnom datotekom.
FUNKCIONISANJE
Sigurnosni istraživači su identifikovali .url datoteku koja izvršava komandu za preuzimanje i izvršavanje zlonamjernog binarnog fajla. Ova putanja datoteke, ugrađena u ZIP arhivu koju je preuzeo pregledač Microsoft Edge, ilustruje sposobnost trojanca da cilja žrtve putem različitih metoda distribucije, uključujući priloge elektronske pošte ili preuzimanja sa zlonamjernih internet lokacija. Sigurnosni istraživači su također otkrili da je ovaj trojanac evoluirao i da može selektivno dešifrovati nizove, provjeravati razlike u vremenskim zonama i ciljati određene regione na globalnom nivou.
Mispadu kradljivac identifikuje verziju Windows žrtve, vrši HTTP/HTTPS prijavu na udaljeni server za komandu i kontrolu i komunicira sa istorijom pregledača žrtve preko SQLite-a. Takođe kopira baze podataka istorije pregledača, izvršava upite prema njima i provjerava URL-ove u odnosu na ciljanu listu koristeći unaprijed izgrađene SHA256 hešove.
ZAKLJUČAK
Ova nova Mispadu varijanta nastavlja da se razvija i menija tehnike – sve dok je gotovo nemoguće pripisati prethodnim kampanjama. Međutim, manje sličnosti mogu baciti svetilo na atribuciju različitih uzoraka. Ove razlike znače da sveobuhvatan i višestruki pristup sajber bezbjednosti postaje kritičan, kako za korisnike, tako i za poslovne organizacije.
ZAŠTITA
Da bi ublažili rizike povezane sa Mispadu kradljivcem podatka, korisnici treba da daju prioritet sljedećim mjerama sajber bezbjednosti:
- Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke,
- Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
- Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
- Edukacija korisnika o phishing prijetnjama, naglašavajući rizike povezane sa otvaranjem priloga ili klikom na linkove u neželjenim elektronskoj pošti, kao i obuka za prepoznavanje taktika socijalnog inženjeringa koje koriste zlonamjerni akteri, omogućava korisnicima da izbjegnu da postanu žrtve obmanjujućih trikova koji vode ka izvršavanju zlonamjernih datoteka,
- Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,
- Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.