A gangue por trás do Trojan bancário Mispadu estão explorando uma falha de desvio de segurança do Windows SmartScreen, agora corrigida, para comprometer os usuários no México. Os ataques envolvem uma nova variante do malware que foi observada pela primeira vez em 2019, disse a Unidade 42 da Palo Alto Networks em um relatório publicado na semana passada.
Trojan Mispadu explorando uma falha do Windows SmartScreen
Propagado através de e-mails de phishing, o Mispadu é um ladrão de informações baseado em Delphi, conhecido por infectar especificamente vítimas na região da América Latina (LATAM). Em março de 2023, a Metabase Q revelou que as campanhas de spam Mispadu coletaram nada menos que 90.000 credenciais de contas bancárias desde agosto de 2022. Ele também faz parte de uma família maior de malware bancário da América Latina, incluindo o Grandoreiro, que foi desmantelado pelas autoridades brasileiras na semana passada.
A mais recente cadeia de infecção identificada pela Unidade 42 emprega arquivos de atalho de Internet nocivos contidos em arquivos ZIP falsos que aproveitam o CVE-2023-36025 (pontuação CVSS: 8,8), uma falha de desvio de alta gravidade no Windows SmartScreen. O problema foi abordado pela Microsoft em novembro de 2023.
Os ataques
Mispadu, uma vez lançado, revela sua verdadeira face ao atingir seletivamente as vítimas com base em sua localização geográfica (ou seja, Américas ou Europa Ocidental) e configurações do sistema, e então estabelece contato com um servidor de comando e controle (C2) para acompanhamento sobre exfiltração de dados.
Nos últimos meses, a falha do Windows foi explorada por vários grupos de crimes cibernéticos para fornecer malware DarkGate e Phemedrone Stealer para roubar dados confidenciais de máquinas infectadas e liberar mais cargas úteis.
O México também emergiu como um dos principais alvos de várias campanhas no ano passado que propagaram ladrões de informações e trojans de acesso remoto como AllaKore RAT, AsyncRAT, Babylon RAT. Este constitui um grupo com motivação financeira denominado TA558 que ataca os setores de hospitalidade e viagens na região LATAM desde 2018.
O desenvolvimento ocorre no momento em que Sekoia detalha o funcionamento interno do DICELOADER (também conhecido como Lizar ou Tirion), um downloader personalizado testado pelo tempo usado pelo grupo russo de crime eletrônico conhecido como FIN7. O malware foi observado no passado por meio de unidades USB maliciosas (também conhecidas como BadUSB).
Também segue a descoberta da AhnLab de duas novas campanhas maliciosas de mineração de criptomoedas que empregam arquivos com armadilhas e hacks de jogos para implantar malware de minerador que explora Monero e Zephyr.