Эксперты в области информационной безопасности впервые зафиксировали Mispadu еще 5 лет назад. Новая волна хакерских атак сопровождается использованием опасных файлов-ярлыков, запакованных в ZIP-архив. Mispadu* эксплуатирует уязвимость под идентификатором CVE-2023-36025. Данная брешь позволяет обойти защитную функцию Windows SmartScreen и похитить конфиденциальную информацию жертвы. После запуска Mispadu устанавливает соединение с командным сервером (C2) и отправляет на него все похищенные данные.
«От специалистов по ИБ, отвечающих за информационную безопасность предприятия, конечно, не стоит ждать экспертизы для обнаружения уязвимостей нулевого дня, хотя и такое встречается. А вот принятие мер по уже известным уязвимостям – это их прямая обязанность, тем более, что с одной стороны вендор выпустил описание уязвимости и дал рекомендации по ее устранению, а с другой – решения вроде Efros CI, или подобные сканеры позволяют обнаруживать эти уязвимости достаточно оперативно. Вопрос только в своевременном развертывании таких решений, а также наличии специалистов для их обслуживания», – сказал руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
*Mispadu написан на Delphi и предназначен для кражи конфиденциальной информации жертвы.