Este malware infecta su dispositivo cuando encuentra un anuncio de Facebook

Especialistas en hacking ético de la firma de seguridad ESET reportan la aparición de un nuevo troyano bancario en múltiples lugares de América Latina. Identificado como Mispadu, este programa malicioso emplea anuncios falsos de McDonald’s para engañar a las víctimas a través de páginas web y plataformas de redes sociales, principalmente Facebook.

Además de publicidad maliciosa, también es posible encontrar este malware en una extensión maliciosa de Google Chrome empleada por los operadores de la campaña para el robo de credenciales e información bancaria.

En su informe, los especialistas afirman que la mayor actividad de Mispadu ha sido registrada en Brasil y México; escrito en Delphi, este troyano infecta a las víctimas de un modo similar a otras variantes de malware, desplegando ventanas emergentes de contenido malicioso para tratar de obtener información confidencial, principalmente detalles financieros.

Además, Mispadu cuenta con una función de backdoor que le permite tomar capturas de pantalla, simular clics e incluso tomar registros de las pulsaciones del teclado. El troyano también cuenta con un módulo de actualización mediante un archivo Visual Basic Script (VBS) descargable y ejecutable de forma automática.

Empleando Mispadu, los actores de amenaza recopilan múltiples detalles sobre las víctimas, incluyendo:

  • Versión del sistema operativo
  • Nombre del dispositivo
  • Lista de herramientas de seguridad instaladas en el sistema objetivo
  • En el caso de Brasil, el troyano verifica si el dispositivo tiene instalada Diebold Varsovia GAS Tech, una popular app usada para controlar el acceso a servicios de banca en línea

En cuanto a la distribución de Mispadu, los expertos en hacking ético mencionan que existen dos principales métodos: el spam y la publicidad maliciosa (también conocida como malvertising). Los especialistas afirman que el malvertising no suele ser un método de distribución de troyanos bancarios muy común.

En el ejemplo siguiente, se muestran dos diferentes emails de phishing utilizados por los operadores de Mispadu, dirigidos a habitantes de Brasil y México.

Ejemplos de emails de phishing usados en esta campaña
FUENTE: ESET

Otro de los vectores de ataque es la colocación de publicidad pagada en Facebook; en este caso, los atacantes decidieron usar anuncios falsos de cupones de descuento para McDonald’s. Al interactuar con esta falsa publicidad, la víctima es redirigida a una página web desde donde se le sugiere hacer clic en el botón “Generar cupón”, lo que iniciará la descarga de un archivo ZIP que incluye el instalador MSI.


Ejemplo de la publicidad y página falsa
FUENTE: ESET

Acorde a los expertos en hacking ético, cuando la víctima ejecuta el instalador, inicia una cadena de tres secuencias de comandos:

  • El primer script descifra y ejecuta el siguiente script
  • El segundo script recupera el tercer script para su ejecución
  • El tercer script verifica algunos datos del dispositivo infectado para identificar el país donde reside la víctima para después configurar la persistencia, creando un enlace en la carpeta de inicio y ejecutando un inyector que localizará el troyano para su descifrado y ejecución

Acorde a los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), Mispadu extrae información escaneando el contenido del portapapeles del dispositivo infectado, incluso se ha detectado que el troyano es capaz de identificar carteras de criptomoneda usadas por la víctima para después reemplazarlas con una dirección controlada por los hackers, aunque este no es el principal medio de ganancias para los criminales.

Por seguridad se recomienda a los usuarios identificar cualquier posible mensaje malicioso recibido por email, además de nunca hacer clic en un enlace adjunto, así como ignorar cualquier anuncio en línea que prometa cosas gratis o que simplemente parezca demasiado bueno para ser verdad.