Se han descubierto veinte campañas de spam diferentes basadas en el troyano bancario Mispadu dirigidas a víctimas de Chile, México, Perú y Portugal.
Los hallazgos, que muestran 90.518 credenciales robadas de un total de 17.595 sitios web únicos, provienen del Equipo Ocelot de la firma de ciberseguridad latinoamericana Metabase Q.
Entre ellos se encuentran varios sitios web gubernamentales: 105 en Chile, 431 en México y 265 en Perú.
“Al observar las técnicas, tácticas y arsenal utilizados durante estas campañas, no cabe duda, es muy similar al troyano bancario Mispadu, pero con nuevos componentes no vistos antes”, escribieron los investigadores de seguridad de Metabase Q, Fernando García y Dan Regalado.
Según el aviso publicado recientemente, Mispadu presenta nuevas técnicas para facilitar la infección y mantener su persistencia. Entre ellas se incluyen certificados falsos para ocultar el malware de la fase inicial y una nueva puerta trasera basada en .NET que permite realizar capturas de pantalla de las víctimas, así como enviar ventanas emergentes falsas para incitarlas a hacer clic en enlaces específicos.
Además, la versión mejorada del troyano bancario Mispadu incluye una nueva puerta trasera programada con Rust que, según Metabase Q, sigue siendo mal gestionada por las herramientas de protección de puntos finales.
“Aunque las campañas de Mispadu fueron capaces de comprometer a miles de usuarios, la tasa de infección de usuarios corporativos (que normalmente tienen una combinación de un Antivirus y un EDR/XDR) es todavía muy baja”, aclaran García y Regalado.
“Sin embargo, las organizaciones deben asumir que tarde o temprano un empleado se verá comprometido y, por lo tanto, trabajar en una estrategia que pueda ayudar a reducir el tiempo de detección y respuesta a estas amenazas, al tiempo que se mejoran las capacidades de monitorización, detección y respuesta de [el] SOC.”
