Los actores de amenazas detrás del troyano bancario Mispadu se han convertido en los últimos en explotar una falla de seguridad de Windows SmartScreen, ahora parcheada, para comprometer a los usuarios en México.
Los ataques implican una nueva variante del malware que se observó por primera vez en 2019, dijo la Unidad 42 de Palo Alto Networks en un informe publicado la semana pasada.
Mispadu, que se propaga a través de correos electrónicos de phishing, es un ladrón de información basado en Delphi conocido por infectar específicamente a víctimas en la región de América Latina (LATAM). En marzo de 2023, Metabase Q reveló que las campañas de spam de Mispadu recopilaron no menos de 90.000 credenciales de cuentas bancarias desde agosto de 2022.
También es parte de la familia más grande de malware bancario de LATAM, incluido Grandoreiro, que fue desmantelado por las autoridades policiales brasileñas la semana pasada.
La última cadena de infección identificada por la Unidad 42 emplea archivos de acceso directo a Internet maliciosos contenidos en archivos ZIP falsos que aprovechan CVE-2023-36025 (puntuación CVSS: 8,8), una falla de derivación de alta gravedad en Windows SmartScreen. Microsoft lo abordó en noviembre de 2023.
«Este exploit gira en torno a la creación de un archivo de acceso directo a Internet (.URL) diseñado específicamente o un hipervínculo que apunta a archivos maliciosos que pueden eludir las advertencias de SmartScreen», afirman los investigadores de seguridad Daniela Shalev y Josh Grunzweig. dicho.
«La omisión es simple y se basa en un parámetro que hace referencia a un recurso compartido de red, en lugar de una URL. El archivo .URL creado contiene un enlace al recurso compartido de red de un actor de amenazas con un binario malicioso».
Mispadu, una vez lanzado, revela sus verdaderos colores al apuntar selectivamente a las víctimas según su ubicación geográfica (es decir, América o Europa occidental) y configuraciones del sistema, y luego procede a establecer contacto con un servidor de comando y control (C2) para realizar un seguimiento. sobre la exfiltración de datos.
En los últimos meses, la falla de Windows ha sido explotada libremente por múltiples grupos de ciberdelincuentes para entregar malware DarkGate y Phemedrone Stealer.
México también se ha convertido en el principal objetivo de varias campañas durante el año pasado que, según se ha descubierto, propagan ladrones de información y troyanos de acceso remoto como AllaKore RAT, AsyncRAT, Babylon RAT. Este constituye un grupo con motivación financiera denominado TA558 que ha atacado a los sectores de hotelería y viajes en la región LATAM desde 2018.
El desarrollo se produce cuando Sekoia detalló el funcionamiento interno de DICELOADER (también conocido como Lizar o Tirion), un descargador personalizado probado en el tiempo utilizado por el grupo ruso de crimen electrónico rastreado como FIN7. El malware ha sido observado. entregado a través de unidades USB maliciosas (también conocidas como BadUSB) en el pasado.
«DICELOADER es eliminado por un script de PowerShell junto con otro malware del arsenal del conjunto de intrusiones como Carbanak RAT», la empresa francesa de ciberseguridad dichodestacando sus sofisticados métodos de ofuscación para ocultar las direcciones IP C2 y las comunicaciones de red.
También sigue al descubrimiento de AhnLab de dos nuevas campañas maliciosas de minería de criptomonedas que emplean archivos con trampas explosivas y trucos de juegos para implementar malware minero que extrae Monero y Zephyr.