Los actores de amenazas detr\u00e1s del troyano bancario Mispadu se han convertido en los \u00faltimos en explotar una falla de seguridad de Windows SmartScreen, ahora parcheada, para comprometer a los usuarios en M\u00e9xico.<\/p>\n
Los ataques implican una nueva variante del malware que se observ\u00f3 por primera vez en 2019, dijo la Unidad 42 de Palo Alto Networks en un informe publicado la semana pasada.<\/p>\n
Mispadu, que se propaga a trav\u00e9s de correos electr\u00f3nicos de phishing, es un ladr\u00f3n de informaci\u00f3n basado en Delphi conocido por infectar espec\u00edficamente a v\u00edctimas en la regi\u00f3n de Am\u00e9rica Latina (LATAM). En marzo de 2023, Metabase Q revel\u00f3 que las campa\u00f1as de spam de Mispadu recopilaron no menos de 90.000 credenciales de cuentas bancarias desde agosto de 2022.<\/p>\n
Tambi\u00e9n es parte de la familia m\u00e1s grande de malware bancario de LATAM, incluido Grandoreiro, que fue desmantelado por las autoridades policiales brasile\u00f1as la semana pasada.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/El-nuevo-troyano-bancario-Mispadu-aprovecha-el-defecto-SmartScreen-de.jpg\")
<\/a><\/center><\/div>\nLa \u00faltima cadena de infecci\u00f3n identificada por la Unidad 42 emplea archivos de acceso directo a Internet maliciosos contenidos en archivos ZIP falsos que aprovechan CVE-2023-36025 (puntuaci\u00f3n CVSS: 8,8), una falla de derivaci\u00f3n de alta gravedad en Windows SmartScreen. Microsoft lo abord\u00f3 en noviembre de 2023.<\/p>\n
“Este exploit gira en torno a la creaci\u00f3n de un archivo de acceso directo a Internet (.URL) dise\u00f1ado espec\u00edficamente o un hiperv\u00ednculo que apunta a archivos maliciosos que pueden eludir las advertencias de SmartScreen”, afirman los investigadores de seguridad Daniela Shalev y Josh Grunzweig. dicho<\/a>.<\/p>\n “La omisi\u00f3n es simple y se basa en un par\u00e1metro que hace referencia a un recurso compartido de red, en lugar de una URL. El archivo .URL creado contiene un enlace al recurso compartido de red de un actor de amenazas con un binario malicioso”.<\/p>\n Mispadu, una vez lanzado, revela sus verdaderos colores al apuntar selectivamente a las v\u00edctimas seg\u00fan su ubicaci\u00f3n geogr\u00e1fica (es decir, Am\u00e9rica o Europa occidental) y configuraciones del sistema, y \u200b\u200bluego procede a establecer contacto con un servidor de comando y control (C2) para realizar un seguimiento. sobre la exfiltraci\u00f3n de datos.<\/p>\n En los \u00faltimos meses, la falla de Windows ha sido explotada libremente por m\u00faltiples grupos de ciberdelincuentes para entregar malware DarkGate y Phemedrone Stealer.<\/p>\n M\u00e9xico tambi\u00e9n se ha convertido en el principal objetivo de varias campa\u00f1as durante el a\u00f1o pasado que, seg\u00fan se ha descubierto, propagan ladrones de informaci\u00f3n<\/a> y troyanos de acceso remoto como AllaKore RAT, AsyncRAT, Babylon RAT. Este constituye un grupo con motivaci\u00f3n financiera denominado TA558<\/a> que ha atacado a los sectores de hoteler\u00eda y viajes en la regi\u00f3n LATAM desde 2018.<\/p>\n El desarrollo se produce cuando Sekoia detall\u00f3 el funcionamiento interno de DICELOADER (tambi\u00e9n conocido como Lizar o Tirion), un descargador personalizado probado en el tiempo utilizado por el grupo ruso de crimen electr\u00f3nico rastreado como FIN7. El malware ha sido observado. entregado<\/a> a trav\u00e9s de unidades USB maliciosas (tambi\u00e9n conocidas como BadUSB) en el pasado.<\/p>\n “DICELOADER es eliminado por un script de PowerShell junto con otro malware del arsenal del conjunto de intrusiones como Carbanak RAT”, la empresa francesa de ciberseguridad dicho<\/a>destacando sus sofisticados m\u00e9todos de ofuscaci\u00f3n para ocultar las direcciones IP C2 y las comunicaciones de red.<\/p>\n Tambi\u00e9n sigue al descubrimiento de AhnLab de dos nuevas campa\u00f1as maliciosas de miner\u00eda de criptomonedas que emplean archivos con trampas explosivas<\/a> y trucos de juegos<\/a> para implementar malware minero que extrae Monero y Zephyr.<\/p>\n <\/p>\n<\/a><\/center><\/div>\n