ProtektNet Consulting Services
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
Logo-ProtektNet-1
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
Mispadu Troyano apunta a Europa
17/04/2024

El troyano bancario de nombre Mispadu se ha extendido a más allá de América Latina para dirigirse a usuarios en Italia, Polonia y Suecia, sus objetivos de campaña incluyen entidades bancarias, fabricación de vehículos de motor, bufetes de abogados e instalaciones comerciales. A pesar de su expansión geográfica, México sigue en primer lugar como objetivo.

Mispadu tambien llamado URSA, fue descubierto en el año 2019 cuando se observó realizando actividades de robo de credenciales dirigidas a instituciones financieras en Brasil y México mediante la exposición de ventanas emergentes falsas, este malware además de orquestar correos electrónicos con phishing a través de una carpeta.ZIP tambien es capaz de tomar de screenshots y capturar pulsaciones de teclado; recientemente las cadenas de ataque han aprovechado (y ahora parchada) una vulnerabilidad de Windows (CVE-2023-36025, puntuación CVSS: 8.8) para comprometer a los usuarios en México.

Los ataques de Mispadu también se caracterizan por el uso de dos servidores distintos de mando y control (C2), uno para obtener las cargas útiles intermedias y finales de etapa y otro por exfiltrar las credenciales robadas de más de 200 servicios. Actualmente hay más de 60.000 archivos en el servidor.

El desarrollo se produce cuando el Informe DFIR detalló una intrusión de febrero de 2023 que impulsó el abuso de archivos maliciosos de Microsoft OneNote para soltar IcedID.

Microsoft, hace exactamente un año, anunció que comenzaría a bloquear 120 extensiones incrustados dentro de archivos de OneNote para evitar su abuso para la entrega de malware.

Proceso de MISPADU

El vector de entrada de Mispadu es spam, similar a campañas que ya hemos identificado, que involucran el malware. Envía correos electrónicos que se refieren a facturas atrasadas, y los atacantes crean una situación aparentemente urgente que luego persuade a los receptores a descargar un archivo .zip de URLs maliciosas.

Este archivo zip contiene un MSI (archivo de Installer Microsoft) que tiene un VBScript. Esto es seguido por tres capas de ofuscación que, cuando se desobfuscaron, revelan el archivo final de VBScript que ejecuta un AutoIT Loader/Injector. El VBScript al final recupera datos de la versión del sistema operativo. Si el script detecta un entorno virtual como las siguientes, el script termina su ejecución:

  • Hiper-V
  • VirtualBox
  • VMware

El VBScript ya finalizado también carga un archivo Delphi que contiene el código y los procesos del troyano. El archivo binario Delphi ejecuta una superposición bancaria de navegador que roba los datos de la víctima y utiliza el nombre y el logotipo de bancos legítimos.

Ejemplo:

El archivo Delphi incluye dos herramientas legítimas, WebBrowserPassView y Mail PassView de NirSoft, que son utilizadas para recopilar datos del usuario, como por ejemplo contraseñas del usuario.

Dentro de una investigación realizada por expertos de la industria de Seguridad TI, se pudieron obtener los siguientes IoC.

Indicadores de Compromiso

URLs

  • hxxp://01fckgwxqweod01.ddns.net
  • hxxp://01odinxqwefck01.ddns.net
  • hxxp://02fckgwxqweod02.ddnsking.com
  • hxxp://02odinxqwefck02.ddnsking.com
  • hxxp://03fckgwxqweod03.3utilities.com
  • hxxp://03odinxqwefck03.3utilities.com
  • hxxp://04fckgwxqweod04.bounceme.net
  • hxxp://04odinxqwefck04.bounceme.net
  • hxxp://05fckgwxqweod05.freedynamicdns.net
  • hxxp://05odinxqwefck05.freedynamicdns.net
  • hxxp://06fckgwxqweod06.freedynamicdns.org
  • hxxp://06odinxqwefck06.freedynamicdns.org
  • hxxp://07fckgwxqweod07.gotdns.ch
  • hxxp://07odinxqwefck07.gotdns.ch
  • hxxp://08fckgwxqweod08.hopto.org
  • hxxp://08odinxqwefck08.hopto.org
  • hxxp://09fckgwxqweod09.myddns.me
  • hxxp://09odinxqwefck09.myddns.me
  • hxxp://10fckgwxqweod10.myftp.biz
  • hxxp://10odinxqwefck10.myftp.biz
  • hxxp://11fckgwxqweod11.myftp.org
  • hxxp://11odinxqwefck11.myftp.org
  • hxxp://12fckgwxqweod12.ddns.net
  • hxxp://12odinxqwefck12.ddns.net
  • hxxp://13fckgwxqweod13.ddnsking.com
  • hxxp://13odinxqwefck13.ddnsking.com
  • hxxp://14fckgwxqweod14.3utilities.com
  • hxxp://14odinxqwefck14.3utilities.com
  • hxxp://15fckgwxqweod15.bounceme.net
  • hxxp://15odinxqwefck15.bounceme.net
  • hxxp://16fckgwxqweod16.freedynamicdns.net
  • hxxp://16odinxqwefck16.freedynamicdns.net
  • hxxp://17fckgwxqweod17.freedynamicdns.org
  • hxxp://17odinxqwefck17.freedynamicdns.org
  • hxxp://18fckgwxqweod18.gotdns.ch
  • hxxp://18odinxqwefck18.gotdns.ch
  • hxxp://19fckgwxqweod19.hopto.org
  • hxxp://19odinxqwefck19.hopto.org
  • hxxp://20fckgwxqweod20.myddns.me
  • hxxp://20odinxqwefck20.myddns.me
  • hxxp://21fckgwxqweod21.myftp.biz
  • hxxp://21odinxqwefck21.myftp.biz
  • hxxp://22fckgwxqweod22.myftp.org
  • hxxp://22odinxqwefck22.myftp.org
  • hxxp://23fckgwxqweod23.ddns.net
  • hxxp://23odinxqwefck23.ddns.net
  • hxxp://24fckgwxqweod24.ddnsking.com
  • hxxp://24odinxqwefck24.ddnsking.com
  • hxxp://25fckgwxqweod25.3utilities.com
  • hxxp://25odinxqwefck25.3utilities.com
  • hxxp://26fckgwxqweod26.bounceme.net
  • hxxp://26odinxqwefck26.bounceme.net
  • hxxp://27fckgwxqweod27.freedynamicdns.net
  • hxxp://27odinxqwefck27.freedynamicdns.net
  • hxxp://28fckgwxqweod28.freedynamicdns.org
  • hxxp://28odinxqwefck28.freedynamicdns.org
  • hxxp://29fckgwxqweod29.gotdns.ch
  • hxxp://29odinxqwefck29.gotdns.ch
  • hxxp://30fckgwxqweod30.hopto.org
  • hxxp://87.98.137.173/k1oa
  • hxxp://87.98.137.173/m/k1

SHA-256

  • 048afd4276b67b78fdb03714c3bcc766f83407ea4012aa6eae9de5c7cb2d87b8
  • 073f9d7bbdca94b3e6f5e572522e8ed17629abf6ef27f0e6a65895a107b52881
  • 0d57869a4d6509a13ff48af46492f1a8bb2ee33f5c01897e6ccdc4dd29b1cc85
  • 1590e809dbad3c77d555e1354125537e80294d0847e7867cc8a9b5893eb2269f
  • 23892054f9494f0ee6f4aa8749ab3ee6ac13741a0455e189596edfcdf96416b3
  • 2f21d474ca430cab72f924117ace06d8c5b42377a993fe8f6fd4c52733e04575
  • 400b411a9bffd687c5e74f51d43b7dc92cdb8d5ca9f674456b75a5d37587d342
  • 58fae847c81a61fe43b12885b9886303e58ad4f96d53393a146999ad4d700c4f
  • 5b91c8acffe1980653718a493e24bde7211ee825ea2947df54c03e9733d61a70
  • 779e52e5dd7f28a6d51a333f651da4e50ff0aabdd99a4f341159ba76363b4c10
  • 93488eab403fafb3d8e10d38c80f0af745e3fa4cf26228acff24d35a149f6269
  • c96b32d44a44cd6f1496f88bc22739b9dd885b56af05ae925fbb57706ad48420
  • d1fb8a5061fc40291cc02cec0f1c2d13168b17d22ffcabea62816e14ed58e925
  • de7168cd978a33926ea7ffad027cc151aa1ea2d2f2581da3ce4fe22bad25c904
  • f999357a17e672e87fbed66d14ba2bebd6fb04e058a1aae0f0fdc49a797f58fe

 

Estos IoC ya se encuentran detectados por Sophos Intercept X y te recordamos que es muy importante mantener los equipos actualizados para estar protegido en todo momento contra este tipo de amenazas.

 

Relacionadas

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Campaña Bloody Wolf

Campaña Bloody Wolf: Uso de NetSupport RAT en Ataques de Spear‑Phishing

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Campaña de malware distribuido a través de mensajes privados de Linkedin

Campaña de malware distribuido a través de mensajes privados de Linkedin

Write A Comment

Trabaja con Nostros

Contáctanos

Envíanos un WhatsApp

81 8625 8220

Monterrey

Atención Comercial: 81 8625 8220
Atención Técnica: 81 8625 8224
Servicios Administrados SOC: 81 8625 8228

CDMX

Atención Comercial: 55 2881 4524
Atención Técnica: 55 2881 4528

© 2021 ProtektNet Consulting S.A. de C.V. Todos los Derechos Reservados