Um trojan bancário chamado Mispadu tem sido vinculado a várias campanhas de spam visando países como Bolívia, Chile, México, Peru e Portugal, com o objetivo de roubar credenciais e entregar outros payloads.
A atividade, que começou em agosto de 2022, está em andamento atualmente, informou a equipe Ocelot da empresa de cibersegurança latino-americana Metabase Q em um relatório compartilhado com o The Hacker News.
Mispadu (também conhecido como URSA) foi documentado pela primeira vez pela ESET em novembro de 2019, descrevendo sua capacidade de perpetrar roubo monetário e de credenciais e atuar como uma porta dos fundos, capturando screenshots e keystrokes.
"Uma de suas principais estratégias é comprometer sites legítimos, procurando versões vulneráveis do WordPress, para transformá-los em seu servidor de comando e controle para espalhar malware a partir daí, filtrando os países que não desejam infectar, deixando cair diferentes tipos de malware com base no país infectado", disseram os pesquisadores Fernando García e Dan Regalado.
Também foi dito que o Mispadu compartilha semelhanças com outros trojans bancários visando a região, como Grandoreiro, Javali e Lampion.
As cadeias de ataque que envolvem o malware Delphi alavancam mensagens de email que instigam os destinatários a abrir faturas vencidas falsas, desencadeando assim um processo de infecção em várias etapas.
Se uma vítima abrir o anexo HTML enviado por email de spam, ele verifica se o arquivo foi aberto de um dispositivo de desktop e, em seguida, redireciona para um servidor remoto para buscar o malware da primeira etapa.
O arquivo RAR ou ZIP, quando lançado, é projetado para fazer uso de certificados digitais falsos - um deles é o malware Mispadu e o outro, um instalador AutoIT - para decodificar e executar o trojan, abusando do utilitário de linha de comando certutil legítimo.
O Mispadu está equipado para reunir a lista de soluções antivírus instaladas no host comprometido, extrair credenciais do Google Chrome e do Microsoft Outlook e facilitar a recuperação de malware adicional.
Isso inclui um dropper de script Visual Basic ofuscado que serve para baixar outro payload de um domínio codificado, uma ferramenta de acesso remoto baseada em .NET que pode executar comandos emitidos por um servidor controlado pelo ator e um loader escrito em Rust que, por sua vez, executa um loader do PowerShell para executar arquivos diretamente da memória.
Além disso, o malware utiliza telas de sobreposição maliciosas para obter credenciais associadas a portais bancários online e outras informações sensíveis.
A Metabase Q observou que a abordagem do certutil permitiu que o Mispadu contornasse a detecção por uma ampla gama de softwares de segurança e coletasse mais de 90.000 credenciais bancárias de mais de 17.500 sites únicos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...