Last Updated on 2024-04-03 21:08 by 荒木 啓介
Mispaduと呼ばれるバンキングトロイの木馬が、ラテンアメリカとスペイン語圏の個人を対象とした攻撃から範囲を広げ、イタリア、ポーランド、スウェーデンのユーザーを標的にしています。このキャンペーンは、金融、サービス、自動車製造、法律事務所、商業施設など様々な分野のエンティティを対象としています。Morphisecによると、メキシコが主要な標的であるにもかかわらず、2023年4月以降、数千件の資格情報が盗まれ、これらの資格情報を利用して悪意のあるフィッシングメールを送信し、受信者に脅威をもたらしています。Mispaduは2019年に初めて確認され、ブラジルとメキシコの金融機関を狙った資格情報盗難活動を行っていました。このDelphiベースのマルウェアは、スクリーンショットの撮影やキーストロークのキャプチャも可能です。最近の攻撃では、スパムメールを通じて配布され、Windows SmartScreenのセキュリティバイパスの脆弱性(CVE-2023-36025、CVSSスコア:8.8)を利用してメキシコのユーザーを侵害しています。感染プロセスは、請求書をテーマにしたメールに添付されたPDFを開くことから始まり、完全な請求書をダウンロードするためのリンクをクリックするよう促され、ZIPアーカイブのダウンロードにつながります。このZIPには、MSIインストーラーまたはHTAスクリプトが含まれており、リモートサーバーからVisual Basic Script(VBScript)を取得し、実行する役割を担っています。このVBScriptは、AutoITスクリプトを使用してMispaduのペイロードをダウンロードし、起動しますが、ローダーによってメモリに注入され、復号化された後に行われます。この攻撃は、200以上のサービスから盗まれた資格情報を抽出するために2つの異なるコマンドアンドコントロール(C2)サーバーを使用することも特徴です。現在、サーバーには60,000以上のファイルが存在しています。
また、Proofpointは、クラックされたビデオゲームを宣伝するいくつかのYouTubeチャンネルが、Lumma Stealer、Stealc、Vidarなどの情報窃盗マルウェアを配布するために利用されていると報告しています。これらのビデオは、ソフトウェアのダウンロードやビデオゲームの無料アップグレード方法を示すもので、ビデオの説明に含まれるリンクがマルウェアにつながっています。これらのビデオが投稿される際には、侵害されたアカウントから投稿される可能性がある一方で、短期間のアカウントを作成して配布目的で使用している可能性もあります。全てのビデオには、DiscordとMediaFireのURLが含まれており、これらはパスワードで保護されたアーカイブにつながり、最終的にスティーラーマルウェアの展開につながります。このキャンペーンは特定の脅威アクターやグループに帰属されていません。
【ニュース解説】
Mispaduと呼ばれるバンキングトロイの木馬が、ラテンアメリカとスペイン語圏の個人を対象とした攻撃から範囲を広げ、イタリア、ポーランド、スウェーデンのユーザーを新たな標的にしています。このマルウェアは、金融機関やサービス提供企業、自動車製造業者、法律事務所、商業施設など、幅広い分野のエンティティを狙っており、2023年4月以降、数千件の資格情報が盗まれたと報告されています。これらの資格情報は、受信者に脅威をもたらす悪意のあるフィッシングメールの送信に利用されています。
Mispaduは、Delphiベースのマルウェアで、2019年に初めて確認されました。このマルウェアは、偽のポップアップウィンドウを表示することで、ブラジルとメキシコの金融機関を狙った資格情報盗難活動を行っていました。スクリーンショットの撮影やキーストロークのキャプチャが可能で、最近の攻撃では、スパムメールを通じて配布され、Windows SmartScreenのセキュリティバイパスの脆弱性を利用してユーザーを侵害しています。
感染プロセスは、請求書をテーマにしたメールに添付されたPDFを開くことから始まり、その後、ZIPアーカイブのダウンロードにつながります。このZIPには、MSIインストーラーまたはHTAスクリプトが含まれており、リモートサーバーからVBScriptを取得し、実行する役割を担っています。このVBScriptは、AutoITスクリプトを使用してMispaduのペイロードをダウンロードし、起動しますが、ローダーによってメモリに注入され、復号化された後に行われます。
この攻撃は、200以上のサービスから盗まれた資格情報を抽出するために2つの異なるコマンドアンドコントロール(C2)サーバーを使用することも特徴です。現在、サーバーには60,000以上のファイルが存在しています。
また、YouTubeチャンネルがクラックされたビデオゲームを宣伝するために利用され、Lumma Stealer、Stealc、Vidarなどの情報窃盗マルウェアを配布することも報告されています。これらのビデオは、ソフトウェアのダウンロードやビデオゲームの無料アップグレード方法を示すもので、ビデオの説明に含まれるリンクがマルウェアにつながっています。
このような攻撃は、個人の資格情報や財務情報の盗難につながり、被害者にとって重大なセキュリティリスクをもたらします。また、企業や組織にとっても、機密情報の漏洩やビジネスの中断など、深刻な影響を及ぼす可能性があります。このため、ユーザーはメールの添付ファイルやリンクを開く際には十分な注意を払う必要があります。また、企業は従業員へのセキュリティ教育を強化し、システムのセキュリティ対策を常に最新の状態に保つことが重要です。
from Mispadu Trojan Targets Europe, Thousands of Credentials Compromised.
“【警告】Mispaduトロイの木馬が欧州を狙う:資格情報盗難が拡大” への1件のコメント
Mispaduバンキングトロイの木馬の拡散は、グローバルなサイバーセキュリティの脅威の進化を示しています。当初、ラテンアメリカとスペイン語圏に限定されていた攻撃が、今やイタリア、ポーランド、スウェーデンを含むヨーロッパの国々にまで広がっている点は、サイバー犯罪者がその作戦範囲を拡大し、さらに洗練させていることを意味します。特に、Windows SmartScreenのセキュリティバイパスの脆弱性を利用することで、ユーザーのセキュリティ対策を巧みに回避している点は注目に値します。
このような攻撃は、個人ユーザーだけでなく、金融機関やサービス提供企業、自動車製造業者、法律事務所、商業施設など、幅広い分野の企業にとっても深刻な脅威です。資格情報が盗まれることで、不正アクセスや財務情報の漏洩、さらには企業の信頼性損失につながる可能性があります。
また、YouTubeチャンネルを介したLumma Stealer、Stealc、Vidarなどの情報窃盗マルウェアの配布も深刻です。無料のソフトウェアやビデオゲームのアップグレードという魅力的なオファーを装ったマルウェア配