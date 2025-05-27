O Mispadu, também conhecido como Ulsa, é um malware financeiro de sobreposição remota que tem como alvo bancos em países que falam espanhol e português, como México, Colômbia, Argentina, Chile, Portugal, Espanha e outros. Em termos simples, o malware de sobreposição remota é um programa malicioso projetado para controlar o sistema da vítima, controlando seus dispositivos de mouse e teclado enquanto o fraudador vê a tela ao vivo da vítima.
O Mispadu apareceu pela primeira vez em 2019 e teve uma reaparição em 2022. Assim como seus equivalentes, Mekotio e Grandoreiro, o Mispadu é desenvolvido na linguagem de programação. Ao contrário deles, era menos comum na natureza até recentemente, quando novas campanhas foram observadas em vários países da América Central, América Latina e Europa. Para obter mais informações sobre o Mekotio, consulte nosso post anterior de blog: Mekotio - Trojan bancário com alvo na América Latina.
Com a Mispadu de volta aos negócios, houve várias mudanças em suas operações, incluindo a codificação da comunicação de comando e controle (C2C), que exploraremos neste artigo.
Como uma sobreposição remota, a comunicação do malware com seu operador é crucial para um ataque bem-sucedido. Essa comunicação geralmente consiste em uma série de comandos operacionais transmitidos do fraudador para o programa malicioso que está sendo executado no sistema da vítima.
Muitos ataques de sobreposição, como roubar o dinheiro da vítima por meio de sua conta bancária, são executados enquanto o fraudador observa e controla as sessões ao vivo da vítima.
Embora possa parecer intuitivo que a comunicação com o fraudador ocorra imediatamente após a execução do programa malicioso pelo usuário, esse não é o caso. Essa comunicação representa um risco significativo para o fraudador, pois pode desencadear alertas de programas antivírus.
Em nosso cenário e na maioria dos casos que envolvem outras sobreposições remotas, a comunicação é iniciada somente após o usuário acessar um dos alvos do malware, especificamente sites de bancos de países de língua espanhola ou portuguesa.
Quando o usuário acessa uma das listas de alvos do malware, a comunicação com o servidor C2C é estabelecida. Isso é alcançado usando as APIs de soquete WIN32, que fornecem o método mais conveniente para essa comunicação.
Antes de configurar o soquete, o malware preenche as informações do soquete, incluindo a porta e o endereço de destino.
Depois que o soquete estiver conectado, a mensagem "GFHHVG." será enviada ao servidor C2C.
Depois que o soquete é conectado e o beacon é enviado para o servidor C2C, o malware aguarda a entrada do servidor C2C. Uma vez recebida, a mensagem é tratada por uma das seguintes funções de "leitura", dependendo da sequência da mensagem recebida:
Essas funções são semelhantes umas às outras e seu objetivo é analisar as mensagens recebidas do C2C.
Vamos nos aprofundar na primeira função “TwYHJk1_wC51Read”:
Quando o malware recebe uma mensagem do C2C, ele a analisa, decodificando a mensagem e, em seguida, comparando-a com uma string que representa um comando. Na primeira função "read", como visto no trecho, o primeiro comando comparado é "<|SocketMain|>". Nas outras funções de "leitura", os comandos comparados são diferentes.
Anote a função lidar com 0x7364A8.
Essa função é responsável por decodificar toda a mensagem. Ele recebe uma string e, após várias manipulações matemáticas, retorna uma string decodificada.
Vamos dar uma olhada dentro dessa função e descobrir seu algoritmo.
A codificação de comunicação serve para ocultar as intenções e métodos operacionais do fraudador. Isso pode ser feito usando algoritmos de comunicação pré-existentes ou personalizados. Como mostramos anteriormente, a mensagem "GFHHV." parece ser uma mensagem codificada que, devido à sua natureza aparentemente aleatória e sem sentido, levanta a suspeita de codificação.
Quando investigamos a função de decodificação da comunicação C2C, podemos ver que a implementação do mecanismo de decodificação é simples e serve para decodificar mensagens recebidas do servidor C2C. Esse mesmo mecanismo também é usado para codificar mensagens enviadas ao servidor C2C.
Vamos considerar o exemplo acima que queremos decodificar. “GFHHVGCGEFUGAFOFUGCFMFXHVFJ@”
Vamos dividir o processo de decodificação nas seguintes etapas:
Etapa 1: pegar o primeiro caractere (“G” GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) e convertê-lo em ASCII. Ele tem um valor de 71. Desse valor, subtraia 65 (o valor ASCII de 'A'). O resultado é 6.
6 é o nosso valor repetitivo durante o processo de decodificação, ao qual retornaremos mais tarde.
Etapa 2: pegar o próximo caractere (“F” GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) e convertê-lo em ASCII. Ele tem um valor de 70. Subtraia 65 (valor ASCII de 'A').
O resultado é 5.
Vamos supor que seja uma variável X.
As duas linhas de código em assembly podem ser representadas com a seguinte equação:
(X + 4X) + (X + 4X)*4 => 25X = 25*5 = 125
Etapa 3: Pegue o próximo caractere (“H” GFHHVGCGEFUGAFOFUGCFMFXHVFJ), valor ASCII: 72. Subtraia o valor ASCII 'A': resultado 7.
Adicione a esse valor o resultado da etapa anterior. 125 + 7 = 132.
Dessa forma, subtraia dois valores: um valor constante de 66 ('B') e o valor da etapa 1. 132 – 66 – 6 = 60. Em ASCII, “<”. Esse é o primeiro caractere da nossa string decodificada.
Etapa 4: Itere novamente a Etapa 2 + Etapa 3 com o próximo par de caracteres (“H” & “V” GFHHVG..), construindo a string decodificada acrescentando o próximo caractere decodificado cada vez.
Etapa 5: “@” Representa o fim da string GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
Agora, podemos imprimir o resultado da decodificação do texto codificado: <|PRINCIPAL|>
Essa string representa o beacon de comunicação inicial enviado do malware para o servidor C2C.
Uma consequência dessa metodologia de codificação e decodificação é que caracteres codificados distintos podem produzir o mesmo caractere decodificado.
Por exemplo, os caracteres GGC e AFV mapeiam o mesmo caractere P.
Outro exemplo, para um cenário mais complicado. Por falar em strings, tanto “GFHHVGCGEFUGAFOFUGCFMFXHVFJ” quanto “AFBHPFVFXFOFTFIFOFVFGFRHPFD” seriam decodificados para o mesmo texto simples.
Um dos benefícios de tais algoritmos de codificação e decodificação é que, se a rede for monitorada, é quase impossível compreender o modo de operação do malware sem obter o algoritmo de decodificação. Isso se deve à enorme variedade de opções de codificação disponíveis para cada comando, fazendo com que o mesmo modo de operação executado pelo malware apareça de forma diferente a cada vez para o monitor de rede.
Depois que o comando é decodificado, o caminho a seguir para a amostra é bastante simples. Cada comando possui sua própria função operacional, permitindo que o fraudador execute várias tarefas no sistema da vítima, incluindo monitoramento de tela, controle de mouse e teclado e muito mais.
Vamos nos aprofundar nos comandos implementados no malware que permitem ao fraudador executar várias tarefas no sistema da vítima.
Ao estabelecer a comunicação, o malware envia um beacon, denominado como "<|PRINCIPAL|>," ao servidor C2C para sinalizar o estabelecimento da rede.
Após a conclusão dessa etapa inicial, o fraudador obtém amplo controle sobre o sistema da vítima, capaz de realizar uma ampla gama de tarefas. Um comando crucial é a extração de informações valiosas do sistema. Isso é facilitado pelo comando "<|Info|>", que é usado para exportar detalhes fundamentais sobre o sistema da vítima. Esses detalhes incluem a versão do Windows, a localização geográfica, o navegador ativo no momento e a página da web que está sendo visualizada. Veja a seguir uma resposta ilustrativa do malware a esse comando, enviada de volta ao servidor C2C:
"<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<"
Esta resposta indica que o sistema da vítima está executando o Windows 10, está usando o Chrome e está visualizando uma página do Bank x às 4:04:12 PM.
Essas informações são roubadas por vários motivos. Conhecer o sistema operacional do dispositivo da vítima pode facilitar o processo de comprometimento de seu sistema com ferramentas maliciosas extras, pois cada ferramenta pode oferecer suporte a diferentes versões do sistema, e conhecer o site bancário de destino da vítima pode ajudar o fraudador a realizar um ataque bem-sucedido.
Os ataques de sobreposição remota estão entre as ameaças mais predominantes às contas bancárias dos usuários atualmente, representando riscos significativos para os bancos e seus clientes. Um aspecto crítico desses ataques envolve a comunicação do malware com seus operadores, o que é parte integrante de sua metodologia operacional. Estabelecer comunicação direta e ao vivo é essencial para executar esses ataques. Ao codificar essa comunicação, o malware pretende dificultar a reversão do processo e colocar mais um tijolo em sua defesa. Como especialistas em cibersegurança, nosso principal objetivo é monitorar, analisar e bloquear essas comunicações para evitar a implementação bem-sucedida de atividades fraudulentas.
Para se protegerem, os usuários devem revisar regularmente suas aplicações instaladas, removendo imediatamente as aplicações desconhecidas ou suspeitas.
Além disso, é essencial monitorar as contas de e-mail em busca de atividades incomuns, como tentativas inesperadas de login, e ficar de olho nas carteiras de criptomoedas em busca de transações não autorizadas ou ações desconhecidas. Manter-se proativo e cauteloso pode ajudar a mitigar os riscos representados por esse paradigma de ataque em evolução.
