结论

最近，Morphisec Labs 发现与 Mispadu（也称为 URSA）相关的活动显着增加，Mispadu 是 ESET 于 2019 年首次标记的银行木马。Mispadu 最初主要集中在拉丁美洲国家和讲西班牙语的个人，但在最新的活动中扩大了其范围。  

介绍

Mispadu 是一种高度活跃的银行木马和信息窃取者，现在针对不同地区，包括以前没有针对的欧洲国家。 Morphisec 已阻止来自多个行业的同一活动的攻击，包括金融、服务、机动车辆制造、律师事务所和其他商业设施。

尽管地域扩张，墨西哥仍然是主要目标。该活动已导致数千个凭据被盗，记录可追溯到 2023 年 4 月。威胁行为者利用这些凭据精心策划恶意网络钓鱼电子邮件，对收件人构成重大威胁。

Mispadu 一直在拉丁美洲以外扩张（图片由：Datawrapper.de生成）

感染链

攻击链由多个阶段组成，与之前的活动相比，这些阶段基本上保持不变。然而，大多数变化发生在初始阶段。

发送

下图展示了威胁行为者发送的网络钓鱼电子邮件的示例。此活动中的每封电子邮件都包含一个 PDF 附件，引诱受害者打开他们所谓的发票。

（电子邮件正文翻译为：“您的发票的 XML 和 PDF 可用。”）

单击PDF 中的“查看完整发票”（已翻译）按钮将通过 URL 缩短服务insprl.com启动 ZIP 文件的下载，该服务会重定向到Yandex.Mail （俄罗斯免费电子邮件服务）上存储的有效负载，如下所示一个附件。

https://webattach.mail.yandex[.]net/message_part_real/?sid=&name=  

第一阶段 VB 脚本

下载的存档包含 MSI 安装程序或 HTA 脚本，最终导致第一阶段 VB 脚本的部署和执行。 MSI 安装程序通过调用它包含在CustomActions下的 DLL 的导出函数来完成此操作。

导出函数解密一个字符串，其中包含负责删除第一阶段 VB 脚本的执行命令。此外，它还会弹出一个消息框，以分散受害者对后台发生的恶意活动的注意力。用于解密字符串的解密算法与整个活动中使用的解密算法相同。

执行的命令是模糊的，其目的是将VB脚本放入公共文件夹中并调用它。

执行以下命令时，HTA 的操作类似。因此，从这个阶段开始，执行过程与HTA攻击链类似。

下载的脚本是第二阶段 VB 脚本，在内存中评估和执行。除非用户代理字段包含“(MSIE)” ，否则 C2 将不会提供有效负载，该字段在以这种方式执行 VB 脚本时默认附加（默认值 - Mozilla/4.0（兼容；MSIE 7.0）... ）。

第二阶段 VB 脚本

该脚本经过严重混淆，并采用与 DLL 中提到的相同的解密算法。在下载和调用下一阶段之前，该脚本会执行多项 Anti-VM 检查，包括查询计算机的型号、制造商和 BIOS 版本，并将其与与虚拟机相关的信息进行比较。

它还会将操作系统语言代码与属于受害者语言代码集的硬编码语言代码进行比较。此外，它还确保计算机名称不等于JOHN-PC ，这是沙箱中使用的常见计算机名称。

如果上述检查通过，则执行将继续下载三个文件：

从https://contdskl.bounceme[.]net/dhyhsh3am1.ahgrher2下载包含混淆文件的存档文件。该文件稍后将被解密为最终的 Mispadu 有效负载。  

下载混淆的文件，解密为其存档形式，然后解压缩。该文件是编译后的 AutoIT 脚本，用于加载最终的有效负载。在调用请求之前，它会提示从3.下载索引，每个请求索引都会递增 1。

下载另一个混淆的文件，解密为其存档形式，然后解压缩。该文件是合法的 AutoIT 可执行文件，用于启动 AutoIT 脚本。

接下来，它将执行合法的 AutoIT 可执行文件，并将编译后的脚本作为参数传递。该脚本将 DLL 加载到内存中并调用其导出函数。 DLL 负责解密加密的 Mispadu 有效负载并将其注入内存。

自动IT脚本

以下是反编译的 AutoIT 脚本的一部分，负责将 DLL 加载到内存中并调用其导出函数。

注入器动态链接库

一旦加载到内存并被调用，DLL 就会解密第二阶段 VB 脚本中下载的 Mispadu 有效负载，并将其注入到attrib.exe 或 RegSvcs.exe中。

Mispadu有效负载

与感染链中的前述步骤类似，最终的 Mispadu 有效负载基本保持不变。它继续利用 NirSoft 的合法WebBrowserPassView和Mail PassView来提取浏览器和电子邮件客户端凭据。它主动监控网站和应用程序的前台窗口中的特定字符串，包括银行名称、加密货币交易所、金融相关应用程序和电子邮件客户端。超过 200 个此类服务受到监控，以防止潜在的凭证泄露。  

下面是从 C2 服务器获取的凭证示例，使用整个感染链中使用的算法进行编码。威胁行为者将窃取的数据分为两部分。第一部分包括从电子邮件客户端和浏览器密码中提取的凭据，而第二部分包括从受害者计算机获取的电子邮件地址。随后，TA 使用这些电子邮件地址来制作和分发恶意网络钓鱼电子邮件。

结论

威胁行为者在整个感染链中使用两台命令和控制 (C2) 服务器。第一个 C2 服务器用于获取攻击中使用的有效负载，例如第二阶段 VB 脚本、Mispadu 有效负载和其他组件。第二个 C2 服务器用于泄露提取的凭据。第一个 C2 服务器经历频繁的更改，而用于凭据泄露的第二个 C2 服务器在各种活动中保持相对一致。

根据 C2 服务器上发现的被盗凭证，最早的记录可以追溯到 2023 年 4 月，并且一直持续到今天。目前，C2服务器中有超过60K的文件。

Morphisec 如何提供帮助

Mispadu 是一种极其隐蔽的威胁，通常会绕过组织目前采用的许多领先解决方案。 Morphisec 的自动移动目标防御 (AMTD)可阻止整个攻击链中的 Mispadu 和其他银行木马等攻击，检测恶意安装程序、脚本和有效负载本身。 Morphisec 不依赖于签名或行为模式。相反，它使用获得专利的移动目标防御技术在最早阶段阻止攻击，先发制人地阻止对内存和应用程序的攻击，有效地补救响应的需要。

立即安排演示，了解 Morphisec 如何阻止 Mispadu 和其他新出现的威胁。

妥协指标

PDF

d0239871a9979bea53d538ca2ef680f433699b749600ab2e93f318fc31a4c33f
b6faf2e8ded0ec241c53ed1462032e43d32671877773c7def6f69c9286403fde 
08debac815ceb2b5addaa2a93c292fceac6d8d46ec32cdf4e4ffd976f7e99366
f33c8b656c0327e3e13e1466e98d3b8e37acec0f28cede0b4d307b52dba63b35

MSI

eda8af62c033636d38f9e70e77b011df89c48feb8a393415a7752b7759dcef4c
50687300a0d51a86bd5c858b6ee6fa0db171926da7fcbc8ac93f9a336e709443
4f0ca9a1163e64167ae2406b17f6bb340235a173e12d4e8aa621665c7af3b571 
ef135dc34083956cc31881a526bb6119d24dc93096ee282e0feab8d43d603a03
5e3568da30a42818817529c5c4156555a6b8d01a0f3259349311fbd1f1e892c0 
003385158bb5d9ac62d0f3f9fb4a43a2f970a4f36d8e9b5185158b6cfa598896 
00464ba23ee2a2591565912294f3d3b16f7c67e4cf9335dab39eb202f483f5b3 
023daf2d995e9814144e3bf0743d6e32b6e50f2279e245df006c3eaae507dab5
03a7251579420171a12a1e416ca91f7231058fe008d008aaede2b5e589c01b25

VBS

1266c3ffada5bf0620bf64a60c24457f14468c26996af6d321d7ca2cb3977f37 
4c6f9607aeb8da098fd2e802a0722a3f1ee2c1d4cbe5cc4cbd25832367424162
5b5971416042d765d4bd57efe4b912ae24475f3f27de40facad91582e446aadc 
6f2407a288f2e066dec8a87f1c8ca4d8b9a0954ef712dfb8c97214781641f150
201a7bc9bbcfab1dbbc7f51312fa45c779ffb929393c646f636f6e6f44936b10 
56956dd7fbb4b1b251022ec5f84dea9a6049ac5e5b6d0ce077c850f8d63b81eb 
6a07b86e7d437854dc93fa9efe0a7b20787382589a27885b6f4a4727bfb1e3f2 
c0c716fa71d917f76e40c0f50c58e1217bd7bae8ea20d292ad7b4a807774deeb

C2

160.126.168[.]184.host.secureserver.net 
contdskl.bounceme[.]net 
betmaniaplus[.]com 
arq.carpedum[.]com 
mtw.toh[.]info 
1fu11ubut.zapto[.]org 
sistecmastegodd[.]life 
contdjf[.]pro 

Bitcoin Addresses

bc1qn5fwarp0wesjahyaavj3zpzawsh3mp0mpuw94n 
bc1qzcdrhp30eztexrmyvz5dwuyzzqyylq5muuyllf

参考链接： https://blog.morphisec.com/mispadu-infiltration-beyond-latam

图片来源网络侵权可联系删除