Mispadu银行木马分析与防御指南

1. 木马概述

Mispadu是一种针对银行系统的木马程序，趋势科技将其标记为TrojanSpy.Win32.MISPADU.THIADBO。该木马主要功能是窃取用户的凭证信息，特别针对西班牙语和葡萄牙语用户。

2. 攻击向量

2.1 传播方式

• 通过垃圾邮件传播
• 邮件内容涉及"过期票据"等紧急情况
• 诱导用户点击恶意URL并下载.zip文件

2.2 文件结构

• 压缩包包含MSI文件(Microsoft安装程序文件)
• MSI文件包含三层模糊处理的VBScript
• 最终执行AutoIT加载器/注入器

3. 木马行为分析

3.1 环境检测

木马会检测以下虚拟环境，若存在则终止运行：

• Hyper-V
• VirtualBox
• VMWare

3.2 目标筛选

木马检查系统语言，仅针对以下语言ID的系统：

• 西班牙语
• 葡萄牙语

特殊规避：如果计算机名称为"JOHN-PC"，攻击也会停止。

3.3 最终负载

• 加载AutoIT文件
• 注入Delphi编写的最终payload
• 创建银行网页的浏览器覆盖层(钓鱼页面)
• 包含两个合法工具：
  • WebBrowserPassView
  • Mail PassView

4. 入侵威胁指标(IoC)

4.1 恶意URL列表

hxxp://01fckgwxqweod01.ddns.net
hxxp://01odinxqwefck01.ddns.net
[...完整列表见原文...]
hxxp://87.98.137.173/m/k1

5. 防御措施

5.1 邮件安全实践

1. 不打开不可信来源的邮件链接或附件
2. 检查发件人地址是否伪造
3. 检查邮件中的语法和拼写错误
4. 联系声称的发送方验证邮件真实性

5.2 技术防护建议

• 部署高级威胁防护解决方案
• 监控对所列IoC的访问
• 限制AutoIT和VBScript执行
• 实施应用程序白名单
• 定期更新反病毒软件签名

5.3 用户教育重点

• 识别钓鱼邮件的特征
• 了解恶意附件类型(.zip, .msi)
• 报告可疑活动
• 使用虚拟键盘输入敏感信息

6. 应急响应

若发现感染迹象：

1. 立即断开网络连接
2. 更改所有在线账户密码(使用干净设备)
3. 联系银行和金融机构
4. 使用专业工具彻底清除恶意软件
5. 考虑重装操作系统

7. 总结

Mispadu银行木马通过精心设计的社交工程攻击传播，针对特定语言用户，采用多层混淆技术逃避检测。防御需要结合技术控制、安全意识和主动监控措施。