Mispadu nueva variante de malware que afecta a América Latina (LATAM)

Mispadu es un troyano bancario que ha estado en circulación desde al menos 2019 y ha evolucionado para aprovechar diversas vulnerabilidades y técnicas de ingeniería social con el fin de comprometer a los usuarios, especialmente en la región de América Latina (LATAM). Este malware se propaga principalmente a través de correos electrónicos de phishing, lo que lo convierte en una amenaza persistente para los usuarios desprevenidos.

Antecedentes 2023

El año pasado ya existían antecedentes de este troyano, los cuales fueron documentados por investigadores de Metabase Q, en donde daban a conocer una serie de campañas de spam dirigidas a varios países, incluyendo Chile, México, Perú y Portugal. Estas campañas, que comenzaron alrededor de agosto de 2022 y continuaron hasta principios de marzo de 2023, se centraron en el robo de credenciales, especialmente relacionadas con la banca en línea, escuelas, servicios gubernamentales, redes sociales, juegos, comercio electrónico, repositorios públicos y correo electrónico Outlook.

Los ciberdelincuentes utilizaron diversas tácticas, como la creación de páginas web falsas y el envío de archivos PDF protegidos con contraseña, para atraer a las víctimas y llevar a cabo la infección inicial. A pesar de que las herramientas de seguridad de los clientes lograron bloquear la carga útil inicial, los atacantes intentaron evadir la detección utilizando certificados falsos.

En aquella oportunidad los investigadores pudieron acceder a 8 de los 20 servidores de comando y control utilizados por los atacantes, la mayoría de los cuales eran sitios web comprometidos. En estos servidores, se encontraron un total de 90.518 credenciales robadas de 17.595 sitios web únicos en diferentes sectores de la industria. Se estima que el número total de infecciones es considerablemente mayor, dado que solo se pudo acceder a cerca de la mitad de los servidores de comando y control durante un período de tiempo específico.

Ilustración 1: Diagrama de infección Mispadu 2023
Fuente: Metabaseq

Operaciones de Mispadu en la actualidad

Investigadores de Unit 42 de Palo Alto han detectado la explotación activa de la vulnerabilidad CVE-2023-36025, una falla de derivación de alta gravedad en Windows SmartScreen. Esta cadena de infección utiliza archivos de acceso directo a Internet maliciosos contenidos en archivos ZIP falsos. Microsoft abordó esta vulnerabilidad en noviembre de 2023. 

El exploit se basa en la creación de un archivo de acceso directo a Internet o un hipervínculo que apunta a archivos maliciosos, eludiendo las advertencias de SmartScreen al referirse a un recurso compartido de red en lugar de una URL estándar. El archivo [.]URL creado contiene un enlace al recurso compartido de red de un actor de amenazas con un binario malicioso.

Una vez que Mispadu se lanza a través de esta cadena de infección, selecciona selectivamente a sus víctimas según su ubicación geográfica y configuraciones del sistema, estableciendo contacto con un servidor de comando y control (C2) para la exfiltración de datos. Esta táctica demuestra la sofisticación de Mispadu al adaptarse a las circunstancias específicas de cada víctima y aumentar su capacidad para eludir las defensas de seguridad.

Ilustración 2: Tabla comparativa de ataques Mispadu
Fuente: Equipo CCI Entel Digital

Fases del ataque SmartScreen explotación CVE-2023-36025

El ataque SmartScreen se basa en la explotación de una vulnerabilidad en Windows SmartScreen para eludir la detección de archivos maliciosos y se lleva a cabo de la siguiente manera:

Creación del archivo [.]url malicioso: El atacante crea un archivo [.]url que contiene un enlace al recurso compartido de red de un actor de amenazas, que apunta a un binario malicioso. Este archivo [.]url se distribuye a través de archivos ZIP maliciosos, que pueden ser enviados como archivos adjuntos de correo electrónico o descargados desde sitios web maliciosos.

Descarga del archivo [.]zip por el navegador: El archivo ZIP malicioso es descargado por el navegador web del usuario, como Microsoft Edge, y se guarda en la carpeta de descargas del usuario.

Ejecución del comando para recuperar y ejecutar el binario malicioso: Cuando el usuario abre el archivo [.]url malicioso, se ejecuta un comando que utiliza el cliente WebDAV para recuperar y ejecutar el binario malicioso alojado en el recurso compartido de red del atacante.

Uso de WebDAV para evadir la detección de SmartScreen: El uso de WebDAV sobre HTTP en lugar de SMB permite al atacante eludir la detección de SmartScreen. Este método aprovecha una omisión en SmartScreen y obliga a Windows a utilizar WebDAV para acceder al recurso compartido de red, lo que no está sujeto a la misma inspección que SMB.

Conexión con el servidor de comando y control (C2): Una vez que el binario malicioso se ejecuta en el sistema de la víctima, se establece una conexión con el servidor de comando y control (C2) del atacante, permitiéndole realizar acciones maliciosas adicionales, como robar información confidencial, detectar las pulsaciones del teclado, insertar otros malware, entre otros. 

Apreciación

Mispadu es un troyano bancario persistente y en constante evolución que se propaga principalmente a través de correos electrónicos de phishing y archivos adjuntos maliciosos. Desde su primera aparición en 2019, ha demostrado ser una amenaza seria para los usuarios, especialmente en América Latina, robando credenciales bancarias y otra información financiera sensible. Su capacidad para eludir las defensas de seguridad convencionales, como Windows SmartScreen, lo hace especialmente peligroso. Mispadu se adapta continuamente, cambiando sus técnicas y evadiendo la detección, lo que dificulta su atribución y defensa. Para protegerse contra esta amenaza, es crucial adoptar un enfoque integral de ciberseguridad, que incluya protección de endpoints robusta, capacitación de concienciación para los usuarios y estar al tanto de las últimas amenazas de ciberseguridad.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos