El Troyano Bancario Mispadu utiliza una Vulnerabilidad en Windows SmartScreen en su último Ciberataque dirigido a usuarios mexicanos

XPoint
Publicado el 05/02/2024

Los actores de amenazas detrás del troyano bancario Mispadu se han convertido en los últimos en aprovechar una vulnerabilidad en la seguridad de Windows SmartScreen, ahora parcheada, para comprometer a usuarios en México.

Los ataques involucran una nueva variante del malware que se observó por primera vez en 2019, según un informe de Palo Alto Networks Unit 42 publicado la semana pasada.

Propagado a través de correos electrónicos de phishing, Mispadu es un ladrón de información basado en Delphi conocido por infectar específicamente a víctimas en la región de América Latina (LATAM). En marzo de 2023, Metabase Q reveló que las campañas de spam de Mispadu habían cosechado al menos 90,000 credenciales bancarias desde agosto de 2022.

También es parte de la familia más amplia de malware bancario LATAM, que incluye a Grandoreiro, que fue desmantelado por las autoridades brasileñas la semana pasada.

La última cadena de infección identificada por Unit 42 utiliza archivos de acceso directo de Internet falsos contenidos en archivos ZIP falsos que aprovechan CVE-2023-36025 (puntuación CVSS: 8.8), una vulnerabilidad de bypass de seguridad de Windows SmartScreen de alta gravedad que fue abordada por Microsoft en noviembre de 2023.

«Este exploit gira en torno a la creación de un archivo de acceso directo de Internet (.URL) específicamente elaborado o un hipervínculo que apunta a archivos maliciosos que pueden eludir las advertencias de SmartScreen», dijeron los investigadores de seguridad Daniela Shalev y Josh Grunzweig.

«El bypass es simple y se basa en un parámetro que hace referencia a una carpeta compartida de red, en lugar de a una URL. El archivo .URL creado contiene un enlace a una carpeta compartida de red controlada por un actor de amenazas con un binario malicioso».

Mispadu, una vez lanzado, revela sus verdaderos colores al seleccionar a las víctimas según su ubicación geográfica (es decir, América o Europa Occidental) y las configuraciones del sistema, y luego procede a establecer contacto con un servidor de comando y control (C2) para la exfiltración de datos posterior.

En los últimos meses, la vulnerabilidad de Windows ha sido aprovechada en la naturaleza por varios grupos de cibercriminales para entregar el malware DarkGate y Phemedrone Stealer para robar datos sensibles de máquinas infectadas y dejar más cargas útiles.

México también ha surgido como un objetivo principal para varias campañas en el último año que se han encontrado para propagar ladrón de información y troyanos de acceso remoto como AllaKore RAT, AsyncRAT, Babylon RAT. Esto constituye un grupo con motivaciones financieras llamado TA558 que ha atacado los sectores de hospitalidad y viajes en la región de LATAM desde 2018.

El desarrollo se produce cuando Sekoia detalló el funcionamiento interno de DICELOADER (también conocido como Lizar o Tirion), un descargador personalizado de larga data utilizado por el grupo de ciberdelincuentes ruso rastreado como FIN7. El malware se ha observado entregado a través de unidades USB maliciosas (también conocidas como BadUSB) en el pasado.

«DICELOADER es dejado caer por un script de PowerShell junto con otro malware del arsenal del conjunto de intrusiones, como Carbanak RAT», dijo la firma francesa de ciberseguridad, destacando sus sofisticados métodos de ofuscación para ocultar las direcciones IP de C2 y las comunicaciones de red.

También sigue al descubrimiento de AhnLab de dos nuevas campañas maliciosas de minería de criptomonedas que utilizan archivos y hacks de juegos trampa para implementar malware minero que extrae Monero y Zephyr.

Preguntas frecuentes

¿Qué es la IA?

+

La IA, o inteligencia artificial, se refiere a la capacidad de las máquinas para realizar tareas que normalmente requieren inteligencia humana. Esto incluye habilidades como el aprendizaje, el razonamiento, la resolución de problemas, la percepción visual y auditiva, el reconocimiento del habla, la toma de decisiones y la comprensión del lenguaje natural.

Existen dos tipos principales de inteligencia artificial: la IA débil y la IA fuerte. La IA débil se refiere a sistemas diseñados para realizar tareas específicas sin tener conciencia o comprensión real. Ejemplos de IA débil incluyen asistentes virtuales, motores de búsqueda y sistemas de recomendación. La IA fuerte, por otro lado, implica la capacidad de las máquinas para comprender, razonar y aprender de manera similar a los humanos, aunque este tipo de inteligencia aún no se ha alcanzado completamente.

Las técnicas de IA pueden clasificarse en dos categorías principales: la inteligencia artificial basada en reglas, que utiliza reglas predefinidas para tomar decisiones, y la inteligencia artificial basada en aprendizaje, que implica la capacidad de las máquinas para aprender y mejorar su rendimiento a medida que interactúan con datos.

En la actualidad, la inteligencia artificial se aplica en una amplia gama de campos, como la medicina, la conducción autónoma, el procesamiento del lenguaje natural, la visión por computadora, el juego, la automatización industrial y muchos otros.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos