Los ciberdelincuentes detrás del troyano bancario Mispadu se han convertido en los últimos en explotar una falla de seguridad de Windows SmartScreen, ahora parcheada, para comprometer a los usuarios en México.
Los ataques implican una nueva variante del malware que se observó por primera vez en 2019, dijo la Unidad 42 de Palo Alto Networks en un informe publicado la semana pasada.
Mispadu, que se propaga a través de correos electrónicos de phishing, es un ladrón de información basado en Delphi conocido por infectar específicamente a víctimas en la región de América Latina (LATAM). En marzo de 2023, Metabase Q reveló que las campañas de spam de Mispadu recopilaron no menos de 90.000 credenciales de cuentas bancarias desde agosto de 2022.
También es parte de la familia más grande de malware bancario de LATAM, incluido Grandoreiro , que fue desmantelado por las autoridades policiales brasileñas la semana pasada.
Archivos de acceso
La última cadena de infección identificada por la Unidad 42 emplea archivos de acceso directo a Internet maliciosos contenidos en archivos ZIP falsos que aprovechan CVE-2023-36025 (puntuación CVSS: 8,8), una falla de derivación de alta gravedad en Windows SmartScreen. Microsoft lo abordó en noviembre de 2023.
«Este exploit gira en torno a la creación de un archivo de acceso directo a Internet (.URL) diseñado específicamente o un hipervínculo que apunta a archivos maliciosos que pueden eludir las advertencias de SmartScreen», dijeron los investigadores de seguridad Daniela Shalev y Josh Grunzweig .
«La omisión es simple y se basa en un parámetro que hace referencia a un recurso compartido de red, en lugar de una URL. El archivo .URL creado contiene un enlace al recurso compartido de red de un actor de amenazas con un binario malicioso».
El peligro del troyano
Mispadu, una vez lanzado, revela sus verdaderos colores al apuntar selectivamente a las víctimas según su ubicación geográfica (es decir, América o Europa occidental) y configuraciones del sistema, y luego procede a establecer contacto con un servidor de comando y control (C2) para realizar un seguimiento. sobre la exfiltración de datos.
En los últimos meses, la falla de Windows ha sido explotada en estado salvaje por múltiples grupos de cibercrimen para entregar el malware DarkGate y Phemedrone Stealer para robar datos confidenciales de las máquinas infectadas y lanzar más cargas útiles.
México también se ha convertido en el principal objetivo de varias campañas durante el año pasado que, según se ha descubierto, propagan ladrones de información y troyanos de acceso remoto como AllaKore RAT, AsyncRAT, Babylon RAT.
A quien está dirigido
Se trata de un grupo con motivaciones financieras denominado TA558 que ha atacado los sectores de hotelería y viajes en la región LATAM desde 2018.
El desarrollo se produce cuando Sekoia detalló el funcionamiento interno de DICELOADER (también conocido como Lizar o Tirion), un descargador personalizado probado en el tiempo utilizado por el grupo ruso de crimen electrónico rastreado como FIN7 . En el pasado se ha observado que el malware se entregaba a través de unidades USB maliciosas (también conocidas como BadUSB).
¿ El troyano se puede elimiar ?
«DICELOADER es eliminado por un script de PowerShell junto con otro malware del arsenal del conjunto de intrusiones como Carbanak RAT», dijo la firma francesa de ciberseguridad , destacando sus sofisticados métodos de ofuscación para ocultar las direcciones IP C2 y las comunicaciones de red.
También sigue al descubrimiento por parte de AhnLab de dos nuevas campañas maliciosas de minería de criptomonedas que emplean archivos con trampas explosivas y hacks de juegos para implementar malware minero que explota Monero y Zephyr.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.