Investigación de ciberseguridad de Palo Alto Networks brazo La Unidad 42 descubrió recientemente una nueva malware variante dirigida a usuarios a través de una vulnerabilidad en Windows SmartScreen
Mispadu es un ladrón de información basado en Delphi que busca extraer información confidencial de los puntos finales de las víctimas, incluidos datos bancarios.
El año pasado, los operadores de Mispadu recolectaron aproximadamente 90.000 credenciales de cuentas bancarias, Las noticias de los piratas informáticos afirmaciones, citando informes de Metabase Q.
Mispadu está detrás de tus datos.
Mispadu funciona explotando una falla identificada como CVE-2023-36025. Es una falla de derivación de alta gravedad encontrada en Windows SmartScreen que microsoft arreglado en noviembre del año pasado. Tiene una puntuación de gravedad de 8,8. Los piratas informáticos abusan de la falla creando un archivo .URL personalizado, o un hipervínculo, que luego apunta a un archivo malicioso que puede evitar las advertencias de SmartScreen.
SmartScreen es un componente antimalware que se ejecuta desde la nube y que viene con varios productos de Microsoft, desde ventana 8 en adelante, e incluido Edge.
«Este exploit gira en torno a la creación de un archivo de acceso directo a Internet (.URL) diseñado específicamente o un hipervínculo que apunta a archivos maliciosos que pueden eludir las advertencias de SmartScreen», dijeron los investigadores de la Unidad 42 en su informe. «La omisión es simple y se basa en un parámetro que hace referencia a un recurso compartido de red, en lugar de una URL. El archivo .URL creado contiene un enlace al recurso compartido de red de un actor de amenazas con un binario malicioso».
Mispadu solo apunta a víctimas en América Latina, se agregó, y la campaña más reciente compromete principalmente a usuarios en México.
El malware no es la única variante que abusa de la falla SmartScreen. A principios de este año, a finales de enero, los expertos advirtieron que Phemedrone Stealer abusaba del mismo error para extraer datos confidenciales. Los investigadores de Trend Micro dijeron que este malware capturó información confidencial almacenada en navegadores web, billeteras de criptomonedas y plataformas de mensajería como Telegram. Vapory Discordia. También toma capturas de pantalla y extrae datos sobre el hardware, la ubicación y el Sistema operativo. Luego, la información robada se presenta a los atacantes a través de Telegram o su servidor de comando y control (C&C).