Dalam konteks keamanan siber terkini, kelompok pelaku ancaman yang terlibat dengan Trojan perbankan Mispadu telah mengeksplorasi kerentanan bypass keamanan Windows SmartScreen yang telah ditambal, menandai pengguna di Meksiko sebagai target utama kompromi mereka. Observasi ini diungkapkan dalam temuan terbaru oleh Palo Alto Networks Unit 42, yang mendokumentasikan manifestasi varian baru dari entitas perangkat lunak berbahaya yang pertama kali diidentifikasi pada tahun 2019.
Trojan ini, yang dikembangkan menggunakan bahasa pemrograman Delphi, dikirimkan kepada korban melalui email phishing, dengan fokus geografis utama pada region Amerika Latin (LATAM). Sebuah penelitian oleh Metabase Q pada Maret 2023 menunjukkan bahwa sejak Agustus 2022, kampanye spam Mispadu berhasil mengakuisisi lebih dari 90.000 kredensial akun bank, menyoroti tingkat keberhasilan dan prevalensinya yang signifikan dalam ekosistem LATAM.
Mispadu juga diklasifikasikan sebagai bagian dari keluarga malware perbankan LATAM yang lebih besar, yang juga mencakup Grandoreiro. Yang terakhir berhasil dihancurkan oleh otoritas penegak hukum Brasil, menunjukkan upaya berkelanjutan dalam memerangi ancaman siber di wilayah tersebut.
Unit 42 mengidentifikasi rantai infeksi terbaru yang memanfaatkan file pintas internet yang tidak sah, dikemas dalam arsip ZIP palsu yang mengeksploitasi CVE-2023-36025, sebuah kerentanan bypass keamanan Windows SmartScreen dengan skor CVSS 8.8. Microsoft telah menanggapi dan menambal kerentanan tersebut pada November 2023, menegaskan pentingnya pembaruan keamanan yang tepat waktu.
Mekanisme eksploitasi berpusat pada pembuatan file pintas internet (.URL) yang dirancang secara khusus, atau hyperlink, yang mengarah ke file berbahaya, mampu melewati filter peringatan SmartScreen. Strategi bypass ini memanfaatkan parameter yang merujuk ke bagian jaringan daripada URL biasa, memungkinkan pelaku ancaman untuk menyembunyikan payload berbahaya di dalam file .URL yang mengarah ke sumber jaringan mereka.
Setelah diaktifkan, Mispadu beroperasi dengan menargetkan korban berdasarkan lokasi geografis dan konfigurasi sistem tertentu, sebelum memulai komunikasi dengan server perintah dan kontrol (C2) untuk ekstraksi data lanjutan. Keberadaan dan eksploitasi kerentanan ini telah dimanfaatkan oleh berbagai kelompok kejahatan siber untuk menyebarkan malware lain seperti DarkGate dan Phemedrone Stealer dalam beberapa bulan terakhir.
Penargetan Meksiko sebagai lokasi utama untuk penyebaran malware ini juga menyoroti fokus strategis pada region tersebut, yang telah melihat peningkatan aktivitas oleh kelompok TA558, sebuah entitas bermotivasi finansial yang menyerang sektor perhotelan dan perjalanan sejak 2018.
Dalam konteks yang lebih luas, perkembangan ini bersamaan dengan pengungkapan oleh Sekoia mengenai DICELOADER, sebuah pengunduh kustom yang digunakan oleh kelompok kejahatan siber Rusia FIN7. Ini menekankan pentingnya pemahaman mendalam tentang taktik, teknik, dan prosedur (TTP) pelaku ancaman untuk merumuskan strategi pertahanan yang efektif dalam melawan ancaman siber yang terus berkembang.
Untuk memastikan organisasi dan individu tetap berada di garis depan keamanan siber, sangat penting untuk terus meningkatkan pengetahuan dan keterampilan dalam bidang ini. Mengikuti sumber terpercaya, menghadiri webinar dan konferensi keamanan siber, mengikuti pelatihan dan sertifikasi, serta berlangganan newsletter keamanan dapat memberikan wawasan terkini tentang tren dan ancaman keamanan siber terbaru. Selain itu, mengadopsi praktik seperti menggunakan layanan penetration testing dari perusahaan keamanan siber terkemuka seperti Fourtrezz dapat menjadi langkah proaktif dalam mengidentifikasi dan mengatasi kerentanan sebelum dimanfaatkan oleh pelaku ancaman. Fourtrezz menawarkan evaluasi komprehensif terhadap keamanan infrastruktur IT, yang sangat penting dalam mengimplementasikan praktik keamanan terbaik. Untuk informasi lebih lanjut tentang bagaimana layanan ini dapat meningkatkan postur keamanan Anda, kunjungi website Fourtrezz, hubungi mereka via WhatsApp di +62 857-7771-7243, atau email ke [email protected]
