Mispadu es un troyano bancario que ha estado en circulación desde al menos 2019 y ha evolucionado para aprovechar diversas vulnerabilidades y técnicas de ingeniería social con el fin de comprometer a los usuarios, especialmente en la región de América Latina (LATAM). Este malware se propaga principalmente a través de correos electrónicos de phishing, lo que lo convierte en una amenaza persistente para los usuarios desprevenidos.
Antecedentes 2023
El año pasado ya existían antecedentes de este troyano, los cuales fueron documentados por investigadores de Metabase Q, en donde daban a conocer una serie de campañas de spam dirigidas a varios países, incluyendo Chile, México, Perú y Portugal. Estas campañas, que comenzaron alrededor de agosto de 2022 y continuaron hasta principios de marzo de 2023, se centraron en el robo de credenciales, especialmente relacionadas con la banca en línea, escuelas, servicios gubernamentales, redes sociales, juegos, comercio electrónico, repositorios públicos y correo electrónico Outlook.
Los ciberdelincuentes utilizaron diversas tácticas, como la creación de páginas web falsas y el envío de archivos PDF protegidos con contraseña, para atraer a las víctimas y llevar a cabo la infección inicial. A pesar de que las herramientas de seguridad de los clientes lograron bloquear la carga útil inicial, los atacantes intentaron evadir la detección utilizando certificados falsos.
En aquella oportunidad los investigadores pudieron acceder a 8 de los 20 servidores de comando y control utilizados por los atacantes, la mayoría de los cuales eran sitios web comprometidos. En estos servidores, se encontraron un total de 90.518 credenciales robadas de 17.595 sitios web únicos en diferentes sectores de la industria. Se estima que el número total de infecciones es considerablemente mayor, dado que solo se pudo acceder a cerca de la mitad de los servidores de comando y control durante un período de tiempo específico.
Ilustración 1: Diagrama de infección Mispadu 2023
Fuente: Metabaseq
Operaciones de Mispadu en la actualidad
Investigadores de Unit 42 de Palo Alto han detectado la explotación activa de la vulnerabilidad CVE-2023-36025, una falla de derivación de alta gravedad en Windows SmartScreen. Esta cadena de infección utiliza archivos de acceso directo a Internet maliciosos contenidos en archivos ZIP falsos. Microsoft abordó esta vulnerabilidad en noviembre de 2023.
El exploit se basa en la creación de un archivo de acceso directo a Internet o un hipervínculo que apunta a archivos maliciosos, eludiendo las advertencias de SmartScreen al referirse a un recurso compartido de red en lugar de una URL estándar. El archivo [.]URL creado contiene un enlace al recurso compartido de red de un actor de amenazas con un binario malicioso.
Una vez que Mispadu se lanza a través de esta cadena de infección, selecciona selectivamente a sus víctimas según su ubicación geográfica y configuraciones del sistema, estableciendo contacto con un servidor de comando y control (C2) para la exfiltración de datos. Esta táctica demuestra la sofisticación de Mispadu al adaptarse a las circunstancias específicas de cada víctima y aumentar su capacidad para eludir las defensas de seguridad.
Ilustración 2: Tabla comparativa de ataques Mispadu
Fuente: Equipo CCI Entel Digital
Fases del ataque SmartScreen explotación CVE-2023-36025
El ataque SmartScreen se basa en la explotación de una vulnerabilidad en Windows SmartScreen para eludir la detección de archivos maliciosos y se lleva a cabo de la siguiente manera:
Creación del archivo [.]url malicioso: El atacante crea un archivo [.]url que contiene un enlace al recurso compartido de red de un actor de amenazas, que apunta a un binario malicioso. Este archivo [.]url se distribuye a través de archivos ZIP maliciosos, que pueden ser enviados como archivos adjuntos de correo electrónico o descargados desde sitios web maliciosos.
Descarga del archivo [.]zip por el navegador: El archivo ZIP malicioso es descargado por el navegador web del usuario, como Microsoft Edge, y se guarda en la carpeta de descargas del usuario.
Ejecución del comando para recuperar y ejecutar el binario malicioso: Cuando el usuario abre el archivo [.]url malicioso, se ejecuta un comando que utiliza el cliente WebDAV para recuperar y ejecutar el binario malicioso alojado en el recurso compartido de red del atacante.
Uso de WebDAV para evadir la detección de SmartScreen: El uso de WebDAV sobre HTTP en lugar de SMB permite al atacante eludir la detección de SmartScreen. Este método aprovecha una omisión en SmartScreen y obliga a Windows a utilizar WebDAV para acceder al recurso compartido de red, lo que no está sujeto a la misma inspección que SMB.
Conexión con el servidor de comando y control (C2): Una vez que el binario malicioso se ejecuta en el sistema de la víctima, se establece una conexión con el servidor de comando y control (C2) del atacante, permitiéndole realizar acciones maliciosas adicionales, como robar información confidencial, detectar las pulsaciones del teclado, insertar otros malware, entre otros.
Apreciación
Mispadu es un troyano bancario persistente y en constante evolución que se propaga principalmente a través de correos electrónicos de phishing y archivos adjuntos maliciosos. Desde su primera aparición en 2019, ha demostrado ser una amenaza seria para los usuarios, especialmente en América Latina, robando credenciales bancarias y otra información financiera sensible. Su capacidad para eludir las defensas de seguridad convencionales, como Windows SmartScreen, lo hace especialmente peligroso. Mispadu se adapta continuamente, cambiando sus técnicas y evadiendo la detección, lo que dificulta su atribución y defensa. Para protegerse contra esta amenaza, es crucial adoptar un enfoque integral de ciberseguridad, que incluya protección de endpoints robusta, capacitación de concienciación para los usuarios y estar al tanto de las últimas amenazas de ciberseguridad.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://thehackernews.com/2024/02/new-misp... |
Tipo | Indicador |
---|---|
hash | 8e1d354dccc3c689899dc4e75fd... |
hash | bc25f7836c273763827e1680856... |
hash | fb3995289bac897e881141e281c... |
hash | 46d20fa82c936c5784f86106838... |
hash | 03bdae4d40d3eb2db3c12d27b76... |
hash | 1b7dc569508387401f1c5d40eb4... |
hash | e136717630164116c2b68de31a4... |
dominio | plinqok[.]com |
dominio | trilivok[.]com |
dominio | xalticainvest[.]com |
dominio | moscovatech[.]com |
url | hxxp://trilivok[.]com/4g303... |
url | hxxps://plinqok[.]com/3dzy1... |
url | 24.199.98[.]128/expediente3... |
url | 24.199.98[.]128/verificacio... |
url | 24.199.98[.]128/impresion73... |