Descripción
Un análisis realizado por una firma de seguridad ha identificado un programa del tipo troyano bancario llamado “Mispadu”, el cual está dirigido principalmente a usuarios de Latinoamérica, de manera central en Brasil y México.
Mispadu se distribuye principalemente por dos métodos, el primero es por correos phihing, los cuales engañan a los usuarios para hacer que ingresen a una URL maliciosa. El segundo método utilizado es mediante publicidad maliciosa de McDonald’s en Facebook ofreciendo cupones de descuento falsos. Una vez que la víctima hace clic en el anuncio, lo lleva a una página Web para descargar un archivo ZIP, el cual contiene software legítimo como Mozilla Firefox o PuTTY, pero son simples distracciones para evitar que la víctima vea el programa malicioso.
Las investigaciones informan que existen dos versiones diferentes del troyano bancario en función del país al que afecta, sin embargo, la funcionalidad de ambas es practicamente la misma.
Una vez que el archivo es descargado en el dispositivo de la vícitma, por cualquiera de los métodos anteriormente mencionados, el programa verifica el país del dispositivo donde se está ejecutando y comprueba que se encuentre en un entorno real, y no en uno virtual, ya que si no se encuentra en un ambiente deseado el programa se cierra. Posteriormente se descarga el troyano Mispadu, genera persistencia en el equipo y después configura los datos para conectarse al C&C (Comando y Control) del atacante.
Mispadu tiene la capacidad de tomar capturas de pantalla, simular acciones de mouse y teclado y capturar pulsaciones de este, además de recopilar información como versión del sistema operativo, nombre del equipo, idioma, lista de aplicaciones bancarias y de productos de seguridad instalados. Además, el programa malicioso extrae credenciales y datos de tarjetas de crédito almacenados en los navegadores como Google Chrome, Mozilla Firefox, Internet Explorer y en aplicaciones de correo electrónico como Microsoft Outlook, Mozilla Thunderbird, entre otros. También es importante mencionar que Mispadu tiene la capacidad de reemplazar carteras de bitcoin identificadas en el dispositivo de la víctima por una controlada por el atacante.
Finalmente cabe resaltar que en Brasil, Mispadu también distribuye una extensión maliciosa de Google Chrome denominada “Protege tu Chrome”, que además de obtener información de tarjetas de crédito y de la banca en línea, intenta acceder a los datos de un sistema de pago en Brasil para transferir pagos llamado “Boleto”, e intenta reemplazar el código de barras legítimo con uno perteneciente a la cuenta bancaria del usuario malicioso.
Nivel de riesgo
- Alto
Sistemas/tecnologías afectadas
- Sistemas Operativos Microsoft Windows.
Indicadores de compromiso IoCs
A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.
- SHA-1
- 1d19191fb2e9ded396b6352cbf5a67
46193d05e8 - 22e6ebdfab7c2b07ff8748afe26473
7c8260e81e - 251ac7386d1b376fb1cb0e02bdfc45
472387c7bc - 337892e76f3b2df0ca851ccf4479e5
6eaf2db8fd - 3486f6f21034a33c5425a398839de8
0ac88feca8 - 63dcbe2db9cc14564eb84d5e953f2f
9f5c54acd9 - 710a20230b9774b3d725539385d714
b2f80a5599 - 76f70276eb95ffec876010211b7198
bcbc460646 - 8b950bf660aa7b5fb619e1f6e665d3
48bf56c86a - a4eda0dd2c33a644feef170f5c24cf
7595c19017 - a4fc4162162a02ce6feadfe07b2246
5686a0ec39 - a8cd12cc0bbd06f14aa136ea5a9a2e
299e450b18 - a9badcbf3bd5c22eeb6faf7db8fc0a
24cf18d121 - cfe21dbfb97c2e93f099d351de5409
9a3fc0c98b - f6021380ad6e26038b5629189a7ada
5e0022c313
- 1d19191fb2e9ded396b6352cbf5a67
- SHA-256
- 5b1e244ec5d88f0747c72ba10f59bf
dffdb16c491e0d98841254226b5d76 1dc3 - f3e6a1dbb374e4926f55d3905c70bf
30ee59281de6fa96aa34ba6d9e624a 8b0e - 8b9e03bea2dfc1ce375cbff63927b7
f0f51cbd0d8e74557e9a54c9a361e7 09b0 - 335b5f887fe759ab0782a88f88a7c9
3ad6cc941e4d8e75cbba1edfcc119e 5efd - 6b3bed56bc43b96660926970c2480d
f5c975ca341fb6cdb52054d5b77ed1 2bdb - 7297806c071bf4ecf5887751054009
c38da840b6c15cfc86167daf0d3f3e 955e - 81baf904ac489e8f71f852f5ad6541
69c5115b96d4bec8c5c53cfe7479dc 29b3 - 731e5538357e450e8252dfd6e3c99e
fd011a0d0eb1ebd616e7d663bdc44b 8141 - 065ed7fbe65f2905d50d53c8a58ff4
c08256f2ecd632375cbe3ad6f990dd e524 - 0e3c89fa4d61b5430e3a0949b86058
b0873f4c807cba87d687c81d3ad441 2ed4 - 57528cfcf5645190e94f96a3fe4e12
08bb0226edede36fa29b4134e92bba 9473 - 400b411a9bffd687c5e74f51d43b7d
c92cdb8d5ca9f674456b75a5d37587 d342 - 6ed32f46a595a4097d85e7f70c74be
5a57b542595088e81074ad8197901b a7aa - 717186c986b7035883a72c1af53b89
8c4549f2552078fb17b6b7ab5b0d68 469a - c1be78e5c30a591b8573b744ee0033
bf9cfaf827487c707a34430a8f6b84 fd4d
- 5b1e244ec5d88f0747c72ba10f59bf
- URLs relacionadas con esta campaña:
- hxxp://18.219.25[.]133/br/
mp1a{1,sq,sl,ss}.aj5 - hxxp://3.19.223[.]147/br/mp1a{
1,sq,sl,ss}.aj5 - hxxp://51.75.95[.]179/la8a{1,
sq,sl,ss}.ay2 - hxxp://mcdonalds.promoscupom[.
]cf/index2.html - hxxp://mcdonalds.promoscupom[.
]cf/index3.html - hxxp://promoscupom[.]cf/
- hxxp://18.219.25[.]133/br/
- Direcciones IP:
- 18.219.25[.]133
- 3.19.223[.]147
- 51.75.95[.]179
- Cartera de bitcoin:
- QWffRcMw6mmwv4dCyYZsXYFq7Le9jp
uWc
- QWffRcMw6mmwv4dCyYZsXYFq7Le9jp
Medidas de contención
- Concientizar a usuarios finales respecto a este tipo de campañas.
- No abrir enlaces cuyo origen sea desconocido y/o sospechoso.
- Verificar el remitente de cada correo electrónico antes de realizar la descarga de cualquier documento adjunto.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
Referencias
- https://www.welivesecurity.
com/2019/11/19/mispadu- advertisement-discounted- unhappy-meal/ - https://github.com/eset/
malware-ioc/tree/master/ mispadu - https://www.eset.com/int/
about/newsroom/press-releases/ research/eset-identifies- latin-american-banking-trojan- mispadu-targeting-victims- with-malicious-facebook-ad/