Nuevo troyano bancario Mispadu

Troyano bancario Mispadu
Este troyano, contiene una puerta trasera que toma capturas de pantalla

Atento con el troyano bancario Mispadu, que utiliza publicidad maliciosa bajo el nombre de McDonald’s.

Este ambicioso troyano, extiende su superficie de ataque a navegadores web. Se cree que esta familia de malware está dirigida al público en general. Sus principales objetivos son el robo de dinero y de credenciales.

En Brasil, se ha observado cómo distribuyen una extensión de Google Chrome maliciosa que intenta robar de la banca electrónica y de las tarjetas de crédito, y que compromete el popular sistema de pagos de facturas de Brasil conocido como Boleto Bancario.

 

Lee también: Cuentas de Disney robadas, ¿cómo estar protegidos?

Características del troyano bancario Mispadu

Mispadu es una familia de malware que apunta principalmente a Brasil y México identificada durante una investigación sobre troyanos bancarios de América Latina.

Por su funcionalidad de backdoor, Mispadu puede realizar capturas de pantalla, simular acciones de mouse y teclado, además de registrar las pulsaciones de teclado. Puede actualizarse a través de un archivo de Visual Basic Script (VBS) que se descarga y ejecuta de manera automática.

Al igual que los otros troyanos bancarios analizados, Mispadu también recopila información sobre sus víctimas. Los datos que recopila son los siguientes:

  • Versión del sistema operativo

  • Nombre de la computadora

  • ID de idioma

  • Si está instalada la aplicación “Diebold Varsovia GAS Tecnología”, una app muy popular en Brasil que es utilizada para proteger el acceso al sistema de banca electrónica

  • Lista de aplicaciones bancarias comúnmente instaladas en América Latina

  • Lista de productos de seguridad instalados

Mispadu también puede identificarse por el uso de un algoritmo criptográfico único y personalizado para ofuscar las strings en su código. Esto es utilizado en todos los componentes, así como para proteger sus archivos de configuración y sus comunicaciones con el C&C.

El ejecutable del troyano

viene con cuatro aplicaciones potencialmente no deseadas almacenadas en su sección de recursos. Todas estas aplicaciones son archivos legítimos de Nirsoft, pero han sido parcheados para correr desde la línea de comandos sin GUI.

Son utilizados por el malware para extraer credenciales almacenadas de:

  • navegadores (Google Chrome, Mozilla Firefox, Internet Explorer) y

  • clientes de correo electrónico (Microsoft Outlook, Mozilla Thunderbird y Windows Live Mail, entre otros).

Mispadu también monitorea el contenido del portapapeles e intenta reemplazar las posibles billeteras de bitcoin con las suyas, como lo hizo Casbaneiro. Sin embargo, al parecer hasta los momentos no ha tenido mucho éxito con esta misión.

Distribución de Mispadu, peligroso troyano bancario

Mispadu emplea dos métodos de distribución: spam y publicidad maliciosa. Si bien el primer método es muy común de ver en el caso de los troyanos bancarios latinoamericanos, el segundo no lo es.

El responsable de esta campaña colocó anuncios patrocinados en Facebook ofreciendo falsos cupones de descuento para McDonald’s. En caso de hacer clic en uno de los anuncios, la potencial víctima es dirigida a una de las páginas web.

Independientemente del sistema operativo que utilice el visitante, hacer clic en el botón que sugiere el anuncio descargará un archivo ZIP que contiene un instalador MSI.

Ocasionalmente, este archivo ZIP también incluye software legítimo como Mozilla Firefox o PuTTY, pero son simples señuelos y no se utilizan en absoluto.

Los operadores de Mispadu compilaron dos versiones diferentes del troyano bancario en función del país al que ataca. Además de eso, decidieron usar diferentes instaladores y etapas posteriores para cada país atacado.

Cuando la potencial víctima ejecuta el instalador MSI, se da inicio a una cadena subsecuente de tres secuencias de comandos VBS. El primer script (desempacador) descifra y ejecuta el segundo script (downloader) a partir de sus datos internos.

El script del downloader recupera el tercer script (loader) y lo ejecuta. Este es más complicado que el de las dos primeras etapas. Es específico de la localidad; ya que comprueba el identificador de idioma de la máquina de la potencial víctima para verificar que realmente proviene del país apuntado.

También puede detectar algunos entornos virtuales; y en caso de detectar un entorno virtual o no encontrar el entorno local deseado, el loader se cierra.

¿Cómo funciona el troyano Bancario Mispadu?

Los servidores de descarga de este troyano bancario latinoamericano verifican la validez de las solicitudes que reciben. Enviar una solicitud no válida da como resultado el envío de una imagen obscena como respuesta.

Finalmente, el script del loader configura la persistencia creando un enlace en la carpeta de inicio y ejecutando el injector. Esto se realiza a través de rundll32.exe llamando a una función exportada de la DLL del injector.

Este nombre proviene de uno de los archivos de configuración previamente configurados. El injector localiza el troyano bancario cifrado, luego lo descifra y lo ejecuta.

Ahora que ya se conoce las características de Mispadu, peligroso troyano bancario latinoamericano, la precaución al abrir supuestos falsos anuncios debe estar presente a modo de evitar que se apodere de sus datos personales bancarios.

Lee también: Apps para editar fotografías profesionales

 

 

Artículos relacionadosMás del autor