Investigaciones recientes descubren una nueva muestra de malware Mispadu que utiliza una falla de derivación de SmartScreen para integrarse en el sistema. Este troyano bancario de 2019 utiliza la vulnerabilidad descubierta tarde 2023 para apuntar principalmente a usuarios de LATAM.
El troyano Mispadu utiliza SmartScreen Bypass
La extensa investigación sobre el malware Mispadu realizada por Unit 42, entre otras cosas, subraya el uso de una vulnerabilidad crítica en Windows para eludir la protección SmartScreen. La falla, conocido como CVE-2023-36025, fue detectado y reparado por Microsoft en noviembre 2023. Sin embargo, desde principios de febrero 2024, Ya existen varios casos de malware que aprovechan esa vulnerabilidad., lo que significa que los usuarios dudan a la hora de instalar un parche. Más temprano, we wrote about a Phemedrone Stealer campaña de difusión que utiliza el mismo enfoque de evasión de detección.
Dicho defecto es bastante fácil de explotar., ya que todo lo que se necesita es solo un archivo URL específicamente diseñado. Como tales, Microsoft Defender considera que los archivos son confiables, el sistema no mostrará un banner de SmartScreen advirtiendo sobre la ejecución del archivo potencialmente peligroso. En el fondo, este archivo URL fuerza la conexión al servidor de comandos y descarga la carga útil en forma de archivo binario.
Los ciberdelincuentes que respaldan a Mispadu suelen utilizar correo no deseado para entregar estos archivos URL manipulados.. Sin embargo, otras formas de difusión pueden tener aún más éxito, como, Por ejemplo, compartir el archivo a través de las redes sociales, como lo hacen los maestros de Phemedrone.
¿Qué es el malware Mispadu??
El propio Mispadu es un ejemplo bastante singular de un troyano bancario que surgió en 2019. Se distingue por un peculiar método de verificación de región., cifrado de código persistente, y confusión excesiva. Por ejemplo, para detectar si se ejecuta en una región prohibida o no, no utiliza un “tradicional” Lista de prohibición de direcciones IP. En cambio, Mispadu verifica la diferencia entre la hora actual del sistema y la UTC; cesa la ejecución si el valor excede el límite establecido.
Este ladrón de información financiera se dirige a una variedad de sitios web financieros., buscando coincidencias en el historial de navegación. Una vez que Mispadu encuentra uno presente en su lista de objetivos, busca la contraseña en el archivo Autocompletar del navegador y la envía al servidor de comandos. Como resultado, los piratas informáticos obtienen el conjunto completo de credenciales relacionadas a los servicios financieros.
A pesar de tener una solución flexible para apuntar a diferentes servicios bancarios y criptográficos en diferentes países, el ladrón se centra principalmente en los de América y los países de Europa occidental.. No está claro si dicha selección está relacionada con la ubicación de los maestros del malware u otros factores..
Cómo protegerse?
El malware como Mispadu es grave, aunque rara vez se puede llamar inevitable. Explota un defecto bien conocido, eso está arreglado en las últimas actualizaciones de Windows. Por lo tanto, Con solo actualizar el sistema, ya se elimina el vector de inyección principal que emplea este malware..
No obstante, Vale la pena tener en cuenta que el archivo en sí llega al sistema de destino dentro de un correo electrónico no deseado.. Este último sigue siendo el principal método de propagación del malware., estafas , y ataques de phishing. Sepa cómo distinguir entre un correo electrónico de phishing y uno genuino, y tendrá muchas menos posibilidades de meterse en problemas..
Utilice un software antimalware confiable como capa de protección adicional. Todo el mundo puede cometer un error., y eso es completamente normal – sólo aquellos que no hacen nada nunca harán nada. Para obtener una copia de seguridad para tales casos, Recomiendo usar GridinSoft Anti-Malware, un confiable, ligero, y software antimalware fácil de usar. Sus mecanismos de detección avanzados podrán detectar y detener cualquier malware desde su inicio..
