Los atacantes detrás del troyano bancario Mispadu han aprovechado recientemente una vulnerabilidad de seguridad en Windows SmartScreen, la cual ya ha sido parcheada. Esta nueva variante del malware, detectada por primera vez en 2019, se ha dirigido a usuarios en México a través de correos electrónicos de phishing.

Mispadu, un ladrón de información basado en Delphi, ha sido conocido por infectar específicamente a víctimas en la región de América Latina (LATAM). En marzo de 2023, se reveló que las campañas de spam asociadas con Mispadu habían recopilado al menos 90,000 credenciales bancarias desde agosto de 2022. Además, forma parte de la familia más amplia de malware bancario de LATAM, que incluye a Grandoreiro, recientemente desmantelado por las autoridades policiales brasileñas.

La última cadena de infección identificada por la Unidad 42 utiliza archivos de acceso directo a Internet maliciosos en archivos ZIP falsos, aprovechando una vulnerabilidad (CVE-2023-36025) en Windows SmartScreen, que Microsoft abordó en noviembre de 2023. Este exploit elude las advertencias de SmartScreen al referenciar un recurso compartido de red en lugar de una URL en el archivo .URL creado.

Una vez que Mispadu infecta un sistema, selecciona objetivos específicos según su ubicación geográfica y configuraciones del sistema, estableciendo luego contacto con un servidor de comando y control (C2) para la exfiltración de datos.

En los últimos meses, la vulnerabilidad de Windows ha sido aprovechada por varios grupos ciberdelincuentes para entregar malware como DarkGate y Phemedrone Stealer, utilizados para robar datos confidenciales y desencadenar más cargas útiles.

México ha sido un objetivo principal de diversas campañas maliciosas durante el último año, propagando troyanos de acceso remoto y ladrones de información como AllaKore RAT, AsyncRAT y Babylon RAT. El grupo TA558, con motivaciones financieras, ha atacado los sectores de hotelería y viajes en la región LATAM desde 2018.

En otro desarrollo, Sekoia detalló el funcionamiento interno de DICELOADER, un descargador personalizado utilizado por el grupo ruso de crimen electrónico FIN7. Este malware se ha entregado mediante unidades USB maliciosas (BadUSB), y su eliminación implica un script de PowerShell junto con otro malware del arsenal del grupo.

AhnLab también ha descubierto recientemente dos nuevas campañas maliciosas de minería de criptomonedas que utilizan archivos con trampas explosivas y hacks de juegos para implementar malware minero que explota Monero y Zephyr.

fuente:thehackernews