TLP: White
NIVEL DE RIESGO – [Alto]
Acción requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Phishing y publicidad maliciosa de McDonald’s.
Impacto: El compromiso exitoso de esta campaña, podría ocasionar que el usuario malicioso adquiera información bancaria de la víctima.

Descripción

Un análisis realizado por una firma de seguridad ha identificado un programa del tipo troyano bancario llamado “Mispadu”, el cual está dirigido principalmente a usuarios de Latinoamérica, de manera central en Brasil y México.

Mispadu se distribuye principalemente por dos métodos, el primero es por correos phihing, los cuales engañan a los usuarios para hacer que ingresen a una URL maliciosa. El segundo método utilizado es mediante publicidad maliciosa de McDonald’s en Facebook ofreciendo cupones de descuento falsos. Una vez que la víctima hace clic en el anuncio, lo lleva a una página Web para descargar un archivo ZIP, el cual contiene software legítimo como Mozilla Firefox o PuTTY, pero son simples distracciones para evitar que la víctima vea el programa malicioso.

Las investigaciones informan que existen dos versiones diferentes del troyano bancario en función del país al que afecta, sin embargo, la funcionalidad de ambas es practicamente la misma.

Una vez que el archivo es descargado en el dispositivo de la vícitma, por cualquiera de los métodos anteriormente mencionados, el programa verifica el país del dispositivo donde se está ejecutando y comprueba que se encuentre en un entorno real, y no en uno virtual, ya que si no se encuentra en un ambiente deseado el programa se cierra. Posteriormente se descarga el troyano Mispadu, genera persistencia en el equipo y después configura los datos para conectarse al C&C (Comando y Control) del atacante.

Mispadu tiene la capacidad de tomar capturas de pantalla, simular acciones de mouse y teclado y capturar pulsaciones de este, además de recopilar información como versión del sistema operativo, nombre del equipo, idioma, lista de aplicaciones bancarias y de productos de seguridad instalados. Además, el programa malicioso extrae credenciales y datos de tarjetas de crédito almacenados en los navegadores como Google Chrome, Mozilla Firefox, Internet Explorer y en aplicaciones de correo electrónico como Microsoft Outlook, Mozilla Thunderbird, entre otros. También es importante mencionar que Mispadu tiene la capacidad de reemplazar carteras de bitcoin identificadas en el dispositivo de la víctima por una controlada por el atacante.

Finalmente cabe resaltar que en Brasil, Mispadu también distribuye una extensión maliciosa de Google Chrome denominada “Protege tu Chrome”, que además de obtener información de tarjetas de crédito y de la banca en línea, intenta acceder a los datos de un sistema de pago en Brasil para transferir pagos llamado “Boleto”, e intenta reemplazar el código de barras legítimo con uno perteneciente a la cuenta bancaria del usuario malicioso.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas

  • Sistemas Operativos Microsoft Windows.

Indicadores de compromiso IoCs

A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.

  • SHA-1
    • 1d19191fb2e9ded396b6352cbf5a6746193d05e8
    • 22e6ebdfab7c2b07ff8748afe264737c8260e81e
    • 251ac7386d1b376fb1cb0e02bdfc45472387c7bc
    • 337892e76f3b2df0ca851ccf4479e56eaf2db8fd
    • 3486f6f21034a33c5425a398839de80ac88feca8
    • 63dcbe2db9cc14564eb84d5e953f2f9f5c54acd9
    • 710a20230b9774b3d725539385d714b2f80a5599
    • 76f70276eb95ffec876010211b7198bcbc460646
    • 8b950bf660aa7b5fb619e1f6e665d348bf56c86a
    • a4eda0dd2c33a644feef170f5c24cf7595c19017
    • a4fc4162162a02ce6feadfe07b22465686a0ec39
    • a8cd12cc0bbd06f14aa136ea5a9a2e299e450b18
    • a9badcbf3bd5c22eeb6faf7db8fc0a24cf18d121
    • cfe21dbfb97c2e93f099d351de54099a3fc0c98b
    • f6021380ad6e26038b5629189a7ada5e0022c313
  • SHA-256
    • 5b1e244ec5d88f0747c72ba10f59bfdffdb16c491e0d98841254226b5d761dc3
    • f3e6a1dbb374e4926f55d3905c70bf30ee59281de6fa96aa34ba6d9e624a8b0e
    • 8b9e03bea2dfc1ce375cbff63927b7f0f51cbd0d8e74557e9a54c9a361e709b0
    • 335b5f887fe759ab0782a88f88a7c93ad6cc941e4d8e75cbba1edfcc119e5efd
    • 6b3bed56bc43b96660926970c2480df5c975ca341fb6cdb52054d5b77ed12bdb
    • 7297806c071bf4ecf5887751054009c38da840b6c15cfc86167daf0d3f3e955e
    • 81baf904ac489e8f71f852f5ad654169c5115b96d4bec8c5c53cfe7479dc29b3
    • 731e5538357e450e8252dfd6e3c99efd011a0d0eb1ebd616e7d663bdc44b8141
    • 065ed7fbe65f2905d50d53c8a58ff4c08256f2ecd632375cbe3ad6f990dde524
    • 0e3c89fa4d61b5430e3a0949b86058b0873f4c807cba87d687c81d3ad4412ed4
    • 57528cfcf5645190e94f96a3fe4e1208bb0226edede36fa29b4134e92bba9473
    • 400b411a9bffd687c5e74f51d43b7dc92cdb8d5ca9f674456b75a5d37587d342
    • 6ed32f46a595a4097d85e7f70c74be5a57b542595088e81074ad8197901ba7aa
    • 717186c986b7035883a72c1af53b898c4549f2552078fb17b6b7ab5b0d68469a
    • c1be78e5c30a591b8573b744ee0033bf9cfaf827487c707a34430a8f6b84fd4d
  • URLs relacionadas con esta campaña:
    • hxxp://18.219.25[.]133/br/mp1a{1,sq,sl,ss}.aj5
    • hxxp://3.19.223[.]147/br/mp1a{1,sq,sl,ss}.aj5
    • hxxp://51.75.95[.]179/la8a{1,sq,sl,ss}.ay2
    • hxxp://mcdonalds.promoscupom[.]cf/index2.html
    • hxxp://mcdonalds.promoscupom[.]cf/index3.html
    • hxxp://promoscupom[.]cf/
  • Direcciones IP:
    • 18.219.25[.]133
    • 3.19.223[.]147
    • 51.75.95[.]179
  • Cartera de bitcoin:
    • QWffRcMw6mmwv4dCyYZsXYFq7Le9jpuWc

Medidas de contención

  • Concientizar a usuarios finales respecto a este tipo de campañas.
  • No abrir enlaces cuyo origen sea desconocido y/o sospechoso.
  • Verificar el remitente de cada correo electrónico antes de realizar la descarga de cualquier documento adjunto.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.

Referencias