Clicky

El troyano Mispadu ataca a Europa y compromete miles de credenciales

troyano Mispadu

El malware es capaz de tomar capturas de pantalla y pulsaciones de teclas

El troyano bancario conocido como Mispadu ha ampliado su enfoque más allá de América Latina (LATAM) y de los individuos de habla hispana para dirigirse a usuarios de Italia, Polonia y Suecia.

Según Morphisec, los objetivos de la campaña en curso incluyen entidades que abarcan finanzas, servicios, fabricación de vehículos de motor, bufetes de abogados e instalaciones comerciales.

"A pesar de la expansión geográfica, México sigue siendo el objetivo principal", dijo el investigador de seguridad Arnold Osipov en un informe publicado la semana pasada.

"La campaña ha resultado en miles de credenciales robadas, con registros que se remontan a abril de 2023. El actor de amenazas aprovecha estas credenciales para orquestar correos electrónicos de phishing maliciosos, lo que representa una amenaza significativa para los destinatarios".

Mispadu, también llamada URSA, salió a la luz pública en 2019, cuando se la observó realizando actividades de robo de credenciales dirigidas a instituciones financieras de Brasil y México mediante la exhibición de falsas ventanas emergentes. El malware basado en Delphi también es capaz de tomar capturas de pantalla y pulsaciones de teclas.

Las recientes cadenas de ataques, que normalmente se distribuyen a través de correos electrónicos no deseados, han aprovechado una falla de derivación de seguridad de Windows SmartScreen (CVE-2023-36025, puntuación CVSS: 8.8) para comprometer a los usuarios en México.

troyano Mispadu en PDF

La secuencia de infección analizada por Morphisec es un proceso de varias etapas que comienza con un archivo PDF adjunto presente en correos electrónicos con temas de facturas que, cuando se abre, solicita al destinatario que haga clic en un enlace con trampa explosiva para descargar la factura completa, lo que resulta en la entrega de un archivo ZIP.

El ZIP viene con un instalador MSI o un script HTA que es responsable de recuperar y ejecutar un script Visual Basic (VBScript) desde un servidor remoto, que, a su vez, descarga un segundo VBScript que finalmente descarga y lanza la carga útil de Mispadu utilizando un script AutoIT, pero después de descifrarlo e inyectarlo en la memoria mediante un cargador.

"Este [segundo] script está muy ofuscado y emplea el mismo algoritmo de descifrado que se menciona en la DLL", dijo Osipov.

"Antes de descargar e invocar la siguiente etapa, el script realiza varias comprobaciones Anti-VM, incluida la consulta del modelo, el fabricante y la versión del BIOS de la computadora, y los compara con los asociados con las máquinas virtuales".

Los ataques de Mispadu también se caracterizan por el uso de dos servidores distintos de comando y control (C2), uno para recuperar las cargas útiles de las etapas intermedia y final y otro para extraer las credenciales robadas de más de 200 servicios. Actualmente hay más de 60.000 archivos en el servidor.

El desarrollo se produce cuando el Informe DFIR detalla una intrusión de febrero de 2023 que implicó el abuso de archivos maliciosos de Microsoft OneNote para eliminar IcedID, usándolo para eliminar Cobalt Strike, AnyDesk y el ransomware Nokoyawa.

Microsoft, hace exactamente un año, anunció que comenzaría a bloquear 120 extensiones integradas en los archivos de OneNote para evitar su abuso en la entrega de malware.

Jesus_Caceres