Los ciberdelincuentes detrás del troyano bancario Mispadu han aprovechado una vulnerabilidad de omisión de seguridad de Windows SmartScreen (recientemente corregida), para comprometer a usuarios en México.

Metabase Q señala que:

El malware se propaga a través de correos electrónicos de phishing y es conocido por robar información, especialmente en la región de América Latina, donde ha infectado a numerosas víctimas. Desde agosto de 2022, las campañas de spam relacionadas con el Mispadu han recopilado al menos 90.000 credenciales bancarias.

Este malware forma parte de la amplia familia de malware bancario en LATAM, que incluye a Grandoreiro, desarticulado recientemente por las autoridades policiales brasileñas.

La más reciente cadena de infección detectada por Unit 42 utiliza archivos de acceso directo a Internet fraudulentos alojados en archivos ZIP falsificados que aprovechan la vulnerabilidad CVE-2023-36025 CVSS: 8.8.

Daniela Shalev y Josh Grunzweig, investigadores de Unit 42, afirman:

Este exploit se centra en la creación de archivos de acceso directo a Internet (.URL) o hipervínculos diseñados específicamente que apuntan a archivos maliciosos, los cuales pueden evitar las advertencias de SmartScreen». Explican que la omisión es simple y se basa en un parámetro que hace referencia a un recurso compartido de red en lugar de una URL, con el archivo .URL enlazando al recurso compartido de red de un actor malicioso con un archivo binario.

Mispadu selecciona a sus víctimas (una vez activado) según su ubicación geográfica y configuraciones del sistema, estableciendo luego comunicación con un servidor C2 (comando y control) para la extracción de datos.

Los últimos meses, esta vulnerabilidad de Windows ha sido aprovechada por múltiples grupos de ciberdelincuentes para distribuir malware como DarkGate y Phemedrone Stealer, utilizados para robar información confidencial y desplegar cargas útiles adicionales.

Además, México ha sido objeto de múltiples campañas que propagaron malware como AllaKore RAT, AsyncRAT y Babylon RAT. Campañas atribuidas al grupo TA558, que ha atacado sectores como la hostelería y los viajes en la región de LATAM desde 2018 con motivaciones financieras.

Fuente:

New Mispadu Banking Trojan Exploiting Windows SmartScreen Flaw