El troyano bancario Mispadu vuelve a ser noticia, aprovechando una falla de omisión de seguridad de Windows SmartScreen ahora parcheada para comprometer a usuarios en México. Unidad de redes de Palo Alto 42, en un informe reciente, revelaron detalles de una nueva variante del malware, identificado por primera vez en 2019, ilustrando su adaptabilidad y persistencia.
Correos electrónicos de phishing y CVE-2023-36025 difundiendo Mispadu
El vector de ataque implica correos electrónicos de phishing, un método común empleado por los actores de amenazas para infiltrarse en los sistemas. Mispadu, un ladrón de información basado en Delphi, tiene una notoria reputación por atacar específicamente a víctimas en América Latina. (LATAM) región. En marzo 2023, Metabase Q reveló estadísticas alarmantes, afirmando que las campañas de spam de Mispadu habían cosechado más 90,000 credenciales de cuenta bancaria desde agosto 2022.
Cadena de infección
La cadena de infección identificada por la Unidad 42 revela un enfoque sofisticado, emplear archivos de acceso directo a Internet no autorizados dentro de archivos ZIP engañosos. Estos archivos explotan CVE-2023-36025, una falla de derivación de alta gravedad en Windows SmartScreen, que Microsoft abordó en noviembre 2023. La falla permite a los actores de amenazas crear archivos de acceso directo a Internet o hipervínculos especialmente diseñados que pueden eludir las advertencias de SmartScreen., revelar un enlace a un binario malicioso alojado en el recurso compartido de red de un actor de amenazas.
Mispadu, al activarse, apunta estratégicamente a las víctimas según la ubicación geográfica y las configuraciones del sistema, Establecer contacto con un comando y control. (C2) servidor para posterior exfiltración de datos. Notablemente, este troyano bancario es parte de la familia más grande de malware bancario LATAM, compartiendo conexiones con Grandoreiro, recientemente desmantelado por las autoridades policiales brasileñas.
México, En meses recientes, se ha convertido en el objetivo principal de varias campañas de ciberdelincuencia, incluidos aquellos que propagan ladrones de información y troyanos de acceso remoto. Entre ellos destaca el grupo con motivación financiera TA558., conocido por apuntar a los sectores de hotelería y viajes en la región LATAM desde 2018.
Anteriormente, El troyano Mispadu ha estado atacando a Brasil y a otros países de América Latina., una región a menudo preferida por los ciberdelincuentes motivados financieramente.