Detección de Mispadu Stealer: Una Nueva Variante de Troyano Bancario Apunta a México Mientras Explota CVE-2023-36025
Tabla de contenidos:
Los investigadores de ciberseguridad revelaron recientemente una nueva variante de un malware de robo de información sigiloso conocido como Mispadu Stealer. Se ha observado que los adversarios detrás de los últimos ataques contra usuarios mexicanos que utilizan el troyano bancario Mispadu han estado explotando una vulnerabilidad recientemente corregida de Windows SmartScreen rastreada como CVE-2023-36025.
Detectar Mispadu Stealer
Con docenas de nuevas muestras de malware surgiendo a diario en el dominio cibernético, los defensores cibernéticos buscan soluciones innovadoras para detectar amenazas de manera proactiva. La plataforma SOC Prime agrega más de 300K algoritmos de detección para ayudar a los defensores del ciberespacio a identificar posibles ciberataques en las primeras etapas de desarrollo, incluida la última campaña de infostealer Mispadu.
La última regla de nuestro experimentado desarrollador de Threat Bounty Nattatorn Chuensangarun ayuda a detectar actividad sospechosa de Mispadu Infostealer al ejecutar el comando Rundll32 para cargar la carga útil DLL a través de la utilidad del cliente WebDAV. La detección es compatible con 24 soluciones SIEM, EDR, XDR y Data Lake y está mapeada al marco MITRE ATT&CK v14 abordando la táctica de Evasión de Defensa con Ejecución de Proxy de Binario del Sistema (T1218) como la técnica correspondiente.
Además, considerando que la nueva campaña de Mispadu se basa en CVE-2023-36025 para continuar con el proceso de infección, los usuarios de SOC Prime pueden explorar el conjunto de detección relacionado con la explotación de la vulnerabilidad.
Para explorar la colección de reglas asociadas con la actividad maliciosa de Mispadu Stealer, pulsa el botón Explorar Detección a continuación. Todas las reglas están acompañadas de metadatos extensos, incluidas referencias ATT&CK, enlaces CTI, cronogramas de ataques, recomendaciones de triaje y más.
¿Deseas contribuir a la defensa cibernética colectiva y desarrollar habilidades en ciberseguridad? Únete a nuestro Programa Threat Bounty para defensores cibernéticos, envía tus reglas de detección para que sean publicadas ante más de 33K profesionales de seguridad, y recibe recompensas recurrentes por tu contribución.
Análisis de Mispadu Stealer
Los investigadores de Unit 42 han descubierto recientemente una nueva variante de Mispadu Stealer. Este malware basado en Delphi se enfoca en regiones y URLs vinculadas a México y fue descubierto mientras se buscaba una vulnerabilidad de evasión de seguridad recientemente parcheada en Windows SmartScreen conocida como CVE-2023-36025.
Mispadu Stealer también es parte de una familia más amplia de malware bancario, siendo la región de América Latina su principal objetivo. Esta última incluye otro notorio troyano bancario conocido como Grandoreiro, que durante mucho tiempo se ha utilizado en ataques contra Brasil, España y México hasta que las fuerzas del orden en Brasil tomaron medidas recientemente para interrumpirlo.
Mispadu se propaga comúnmente a través de campañas de spam, en las que los destinatarios reciben correos electrónicos dañinos con un archivo ZIP y una URL falsa dentro. Como una variante de malware de múltiples etapas, el Mispadu stealer aplica múltiples técnicas adversarias que evolucionan continuamente y aumentan en sofisticación.
SmartScreen está diseñado para proteger a los usuarios de fuentes no fiables notificándoles sobre sitios web y archivos potencialmente peligrosos. Sin embargo, los atacantes pueden eludir estas advertencias aprovechando el CVE-2023-36025. El exploit crea un archivo URL o un hipervínculo que lleva a archivos dañinos, que pueden evadir las advertencias de SmartScreen. Una vez que se hace clic, el archivo URL redirige a los usuarios comprometidos a la red compartida del adversario para ejecutar la carga útil.
A finales del otoño de 2023, el equipo Unit 42 encontró un archivo URL similar mientras buscaban intentos de eludir SmartScreen. El archivo URL detectado provenía de un archivo ZIP que fue descargado por el navegador Microsoft Edge y estaba destinado a lanzar y ejecutar un binario ejecutable malicioso. Investigaciones adicionales revelaron cargas útiles similares descargadas del mismo servidor C2. La infraestructura C2 y las capacidades de malware reveladas demostraron tener notables similitudes con las aprovechadas por una muestra de Mispadu detectada a finales de la primavera de 2023.
El aumento exponencial de variantes de malware bancario que se dirigen a múltiples regiones e industrias, junto con el avance continuo de sus capacidades ofensivas, alimentan la necesidad de una defensa proactiva. El Uncoder AI de SOC Prime permite a los ingenieros de seguridad avanzar en sus capacidades de Ingeniería de Detección respaldados por el poder de la inteligencia aumentada. Escriba detecciones contra malware emergente y cambiante de manera más rápida y sencilla, traduzca su código en varios lenguajes de ciberseguridad de forma automatizada y simplifique la coincidencia de IOC para llevar su investigación retrospectiva al siguiente nivel.
