O Trojan bancário Mispadu mais uma vez ganhou as manchetes, aproveitando uma falha de desvio de segurança do Windows SmartScreen agora corrigida comprometer usuários no México. Unidade de redes de Palo Alto 42, em um relatório recente, divulgou detalhes de uma nova variante do malware, identificado pela primeira vez em 2019, ilustrando sua adaptabilidade e persistência.
E-mails de phishing e propagação de CVE-2023-36025 Mispadu
O vetor de ataque envolve e-mails de phishing, um método comum empregado por agentes de ameaças para se infiltrar em sistemas. Mispadu, um ladrão de informações baseado em Delphi, tem uma reputação notória por atingir especificamente as vítimas na América Latina (LATAM) região. Em março 2023, Metabase Q revelou estatísticas alarmantes, afirmando que as campanhas de spam Mispadu colheram mais de 90,000 credenciais de conta bancária desde agosto 2022.
Cadeia de infecção
A cadeia de infecção identificada pela Unidade 42 revela uma abordagem sofisticada, empregando arquivos de atalho da Internet desonestos em arquivos ZIP enganosos. Esses arquivos exploram CVE-2023-36025, uma falha de desvio de alta gravidade no Windows SmartScreen, que a Microsoft abordou em novembro 2023. A falha permite que os agentes de ameaças criem arquivos de atalho da Internet ou hiperlinks especialmente criados que podem ignorar os avisos do SmartScreen, revelando um link para um binário malicioso hospedado no compartilhamento de rede de um agente de ameaça.
Mispadu, após ativação, visa estrategicamente as vítimas com base na localização geográfica e nas configurações do sistema, estabelecer contato com um comando e controle (C2) servidor para posterior exfiltração de dados. Notavelmente, este Trojan bancário faz parte de uma família maior de malware bancário da América Latina, compartilhando conexões com Grandoreiro, recentemente desmantelado pelas autoridades policiais brasileiras.
México, nos últimos meses, emergiu como alvo principal de várias campanhas de crimes cibernéticos, incluindo aqueles que propagam ladrões de informações e trojans de acesso remoto. Notável entre eles é o grupo com motivação financeira TA558, conhecido por atingir os setores de hospitalidade e viagens na região LATAM desde 2018.
Anteriormente, o trojan Mispadu tem como alvo o Brasil e também outros países da América Latina, uma região frequentemente preferida por cibercriminosos com motivação financeira.