Una falla di sicurezza su Windows SmartScreen, ora corretta, ha contribuito alla diffusione del trojan bancario noto come Mispadu su larga scala, diffusosi soprattutto nel contesto dell’America Latina.
Secondo quanto affermato da Unit 42 di Palo Alto Networks in un recente rapporto, stiamo parlando di un malware individuato per la prima volta nel 2019 e propagato in passato attraverso campagne di e-mail phishing. Stiamo parlando di un infostealer basato su Delphi che, dall’agosto 2022, ha raccolto almeno 90.000 credenziali relative a conti bancari.
La vulnerabilità dell’ultima campagna relativa a Mispadu è nota con il codice CVE-2023-36025 e considerata alquanto pericolosa. Stando agli esperti di Unit 42, l’infostealer sarebbe diffuso attraverso un link che, a sua volta, porta al download di un file ZIP malevolo.
Nonostante la vulnerabilità di Windows SmartScreen sfruttata da Mispadu sia stata individuata e corretta lo scorso novembre 2023, i cybercriminali sembrano contare sulla scarsa propensione agli aggiornamenti degli utenti più incauti per fare incetta di credenziali bancarie e non solo.
Windows SmartScreen: la vulnerabilità è stata già corretta, ma i cybercriminali puntano sulla disattenzione degli utenti
Per i ricercatori Daniela Shalev e Josh Grunzweig, l’exploit permette ai malintenzionati di creare file .URL e di proporre attraverso ad essi file dannosi, che vanno ad aggirare senza problemi SmartScreen.
Altra caratteristica legata a Mispadu è la sua capacità di essere alquanto selettivo quando si tratta di prendere di mira determinati territori. Nello specifico, oltre all’America Latina già citata, anche l’Europa occidentale sembra essere un’area che interessa i cybercriminali.
Nel caso la vittima si riveli effettivamente residente in queste aree del mondo, il malware procede stabilendo instaurando un contatto con il server di comando e controllo, avviando poi l’effettiva esfiltrazione dei dati.
Il trojan bancario di cui stiamo parlando, tra l’altro, è solo l’ultimo a sfruttare la vulnerabilità di Windows SmartScreen. Negli scorsi mesi, per esempio, altri malware come DarkGate e Phemedrone Stealer sono stati diffusi attraverso questo exploit.