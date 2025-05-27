Tags
Segurança

Comunicação C2C Mispadu (Ursa) nos bastidores

Detalhe externo de um prédio de bancos

O Mispadu, também conhecido como Ulsa, é um malware financeiro de sobreposição remota que tem como alvo bancos em países que falam espanhol e português, como México, Colômbia, Argentina, Chile, Portugal, Espanha e outros. Em termos simples, o malware de sobreposição remota é um programa malicioso projetado para controlar o sistema da vítima, controlando seus dispositivos de mouse e teclado enquanto o fraudador vê a tela ao vivo da vítima.

O Mispadu apareceu pela primeira vez em 2019 e teve uma reaparição em 2022. Assim como seus equivalentes, Mekotio e Grandoreiro, o Mispadu é desenvolvido na linguagem de programação. Ao contrário deles, era menos comum na natureza até recentemente, quando novas campanhas foram observadas em vários países da América Central, América Latina e Europa. Para obter mais informações sobre o Mekotio, consulte nosso post anterior de blog: Mekotio - Trojan bancário com alvo na América Latina.

Com a Mispadu de volta aos negócios, houve várias mudanças em suas operações, incluindo a codificação da comunicação de comando e controle (C2C), que exploraremos neste artigo.

Pré-inicialização da comunicação C2C

Objetivo de comunicação C2C

Como uma sobreposição remota, a comunicação do malware com seu operador é crucial para um ataque bem-sucedido. Essa comunicação geralmente consiste em uma série de comandos operacionais transmitidos do fraudador para o programa malicioso que está sendo executado no sistema da vítima.

Muitos ataques de sobreposição, como roubar o dinheiro da vítima por meio de sua conta bancária, são executados enquanto o fraudador observa e controla as sessões ao vivo da vítima.

Exemplo de tela de um fraudador controlando a tela da vítima
Figura 1 - Tela do fraudador controlando a tela da vítima
Homem olhando para computador

Fortaleça sua inteligência de segurança  

Fique à frente das ameaças com notícias e insights sobre segurança, IA e outros semanalmente no boletim informativo do Think.  

Tempo de comunicação C2C

Embora possa parecer intuitivo que a comunicação com o fraudador ocorra imediatamente após a execução do programa malicioso pelo usuário, esse não é o caso. Essa comunicação representa um risco significativo para o fraudador, pois pode desencadear alertas de programas antivírus.

Em nosso cenário e na maioria dos casos que envolvem outras sobreposições remotas, a comunicação é iniciada somente após o usuário acessar um dos alvos do malware, especificamente sites de bancos de países de língua espanhola ou portuguesa.

código Iterando sobre a lista de destino
Figura 2 - Iterações sobre a lista de destinos

Inicialização da comunicação C2C

Quando o usuário acessa uma das listas de alvos do malware, a comunicação com o servidor C2C é estabelecida. Isso é alcançado usando as APIs de soquete WIN32, que fornecem o método mais conveniente para essa comunicação.

Antes de configurar o soquete, o malware preenche as informações do soquete, incluindo a porta e o endereço de destino.

código que configura o soquete com lidar com de destino e porta
Figura 3 - Configuração do soquete com lidar com de destino e porta

Depois que o soquete estiver conectado, a mensagem "GFHHVG." será enviada ao servidor C2C.

Log aguardando conexão e envio de mensagem
Figura 4 - Depois que o soquete está conectado, o malware envia uma mensagem ao seu servidor C2C

Recepção de comunicação C2C

Depois que o soquete é conectado e o beacon é enviado para o servidor C2C, o malware aguarda a entrada do servidor C2C. Uma vez recebida, a mensagem é tratada por uma das seguintes funções de "leitura", dependendo da sequência da mensagem recebida:

captura de tela de funções de leitura (em rosa claro)
Figura 5 - Funções de leitura (em rosa claro)

Essas funções são semelhantes umas às outras e seu objetivo é analisar as mensagens recebidas do C2C.

Vamos nos aprofundar na primeira função “TwYHJk1_wC51Read”:

Captura de tela do código mostrando onde ele decodifica a mensagem e, em seguida, a compara com a string <|SocketMain|>
Figura 6 - Decodifique a mensagem e compare-a com a string <|SocketMain|>

Quando o malware recebe uma mensagem do C2C, ele a analisa, decodificando a mensagem e, em seguida, comparando-a com uma string que representa um comando. Na primeira função "read", como visto no trecho, o primeiro comando comparado é "<|SocketMain|>". Nas outras funções de "leitura", os comandos comparados são diferentes.

Anote a função lidar com 0x7364A8.

Essa função é responsável por decodificar toda a mensagem. Ele recebe uma string e, após várias manipulações matemáticas, retorna uma string decodificada.

Vamos dar uma olhada dentro dessa função e descobrir seu algoritmo.

Codificação de comunicação C2C

Propósito

A codificação de comunicação serve para ocultar as intenções e métodos operacionais do fraudador. Isso pode ser feito usando algoritmos de comunicação pré-existentes ou personalizados. Como mostramos anteriormente, a mensagem "GFHHV." parece ser uma mensagem codificada que, devido à sua natureza aparentemente aleatória e sem sentido, levanta a suspeita de codificação.

Implementação

Quando investigamos a função de decodificação da comunicação C2C, podemos ver que a implementação do mecanismo de decodificação é simples e serve para decodificar mensagens recebidas do servidor C2C. Esse mesmo mecanismo também é usado para codificar mensagens enviadas ao servidor C2C.

Dentro da função de decodificação
Figura 7 - Dentro da função de decodificação

Vamos considerar o exemplo acima que queremos decodificar. “GFHHVGCGEFUGAFOFUGCFMFXHVFJ@”

Vamos dividir o processo de decodificação nas seguintes etapas:

Etapa 1: pegar o primeiro caractere (“GGFHHVGCGEFUGAFOFUGCFMFXHVFJ@) e convertê-lo em ASCII. Ele tem um valor de 71. Desse valor, subtraia 65 (o valor ASCII de 'A'). O resultado é 6.
6 é o nosso valor repetitivo durante o processo de decodificação, ao qual retornaremos mais tarde.

Extraindo o primeiro caractere da string codificada
Figura 8 - Extraindo o primeiro caractere da string codificada

Etapa 2: pegar o próximo caractere (“FGFHHVGCGEFUGAFOFUGCFMFXHVFJ@) e convertê-lo em ASCII. Ele tem um valor de 70. Subtraia 65 (valor ASCII de 'A').
O resultado é 5.
Vamos supor que seja uma variável X.
As duas linhas de código em assembly podem ser representadas com a seguinte equação:
(X + 4X) + (X + 4X)*4 => 25X = 25*5 = 125

Extraindo o segundo caractere da string codificada
Figura 9 - Etapa 2

Etapa 3: Pegue o próximo caractere (“HGFHHVGCGEFUGAFOFUGCFMFXHVFJ), valor ASCII: 72. Subtraia o valor ASCII 'A': resultado 7.
Adicione a esse valor o resultado da etapa anterior. 125 + 7 = 132.
Dessa forma, subtraia dois valores: um valor constante de 66 ('B') e o valor da etapa 1. 132 – 66 – 6 = 60. Em ASCII, “<”. Esse é o primeiro caractere da nossa string decodificada.

Extraindo o terceiro caractere da string codificada
Figura 10 - Passo 3

Etapa 4: Itere novamente a Etapa 2 + Etapa 3 com o próximo par de caracteres (“H” & “V”  GFHHVG..), construindo a string decodificada acrescentando o próximo caractere decodificado cada vez.

Etapa 5: @” Representa o fim da string GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
Agora, podemos imprimir o resultado da decodificação do texto codificado: <|PRINCIPAL|>
Essa string representa o beacon de comunicação inicial enviado do malware para o servidor C2C.

Um ponto a observar…

Uma consequência dessa metodologia de codificação e decodificação é que caracteres codificados distintos podem produzir o mesmo caractere decodificado.

Por exemplo, os caracteres GGC e AFV mapeiam o mesmo caractere P.

Outro exemplo, para um cenário mais complicado. Por falar em strings, tanto “GFHHVGCGEFUGAFOFUGCFMFXHVFJ” quanto “AFBHPFVFXFOFTFIFOFVFGFRHPFD” seriam decodificados para o mesmo texto simples.

mostrando dois textos cifrados diferentes que decodificam no mesmo texto simples
Figura 11 - Texto cifrado diferente, mesmo texto simples

Um dos benefícios de tais algoritmos de codificação e decodificação é que, se a rede for monitorada, é quase impossível compreender o modo de operação do malware sem obter o algoritmo de decodificação. Isso se deve à enorme variedade de opções de codificação disponíveis para cada comando, fazendo com que o mesmo modo de operação executado pelo malware apareça de forma diferente a cada vez para o monitor de rede.

Comandos C2C

Implementação

Depois que o comando é decodificado, o caminho a seguir para a amostra é bastante simples. Cada comando possui sua própria função operacional, permitindo que o fraudador execute várias tarefas no sistema da vítima, incluindo monitoramento de tela, controle de mouse e teclado e muito mais.

Verificar se o comando é o mousepos, responsável pela movimentação do mouse da vítima
Figura 12 - Verificar se o comando é o mousepos, responsável pela movimentação do mouse da vítima

Comandos principais

Vamos nos aprofundar nos comandos implementados no malware que permitem ao fraudador executar várias tarefas no sistema da vítima.

Ao estabelecer a comunicação, o malware envia um beacon, denominado como "<|PRINCIPAL|>," ao servidor C2C para sinalizar o estabelecimento da rede.

Após a conclusão dessa etapa inicial, o fraudador obtém amplo controle sobre o sistema da vítima, capaz de realizar uma ampla gama de tarefas. Um comando crucial é a extração de informações valiosas do sistema. Isso é facilitado pelo comando "<|Info|>", que é usado para exportar detalhes fundamentais sobre o sistema da vítima. Esses detalhes incluem a versão do Windows, a localização geográfica, o navegador ativo no momento e a página da web que está sendo visualizada. Veja a seguir uma resposta ilustrativa do malware a esse comando, enviada de volta ao servidor C2C:

"<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<"

  • O nome do banco verdadeiro não pode ser escrito neste blog

Esta resposta indica que o sistema da vítima está executando o Windows 10, está usando o Chrome e está visualizando uma página do Bank x às 4:04:12 PM.

Essas informações são roubadas por vários motivos. Conhecer o sistema operacional do dispositivo da vítima pode facilitar o processo de comprometimento de seu sistema com ferramentas maliciosas extras, pois cada ferramenta pode oferecer suporte a diferentes versões do sistema, e conhecer o site bancário de destino da vítima pode ajudar o fraudador a realizar um ataque bem-sucedido.

Conclusão

Os ataques de sobreposição remota estão entre as ameaças mais predominantes às contas bancárias dos usuários atualmente, representando riscos significativos para os bancos e seus clientes. Um aspecto crítico desses ataques envolve a comunicação do malware com seus operadores, o que é parte integrante de sua metodologia operacional. Estabelecer comunicação direta e ao vivo é essencial para executar esses ataques. Ao codificar essa comunicação, o malware pretende dificultar a reversão do processo e colocar mais um tijolo em sua defesa. Como especialistas em cibersegurança, nosso principal objetivo é monitorar, analisar e bloquear essas comunicações para evitar a implementação bem-sucedida de atividades fraudulentas.

Mantendo-se seguro

Para se protegerem, os usuários devem revisar regularmente suas aplicações instaladas, removendo imediatamente as aplicações desconhecidas ou suspeitas.

Além disso, é essencial monitorar as contas de e-mail em busca de atividades incomuns, como tentativas inesperadas de login, e ficar de olho nas carteiras de criptomoedas em busca de transações não autorizadas ou ações desconhecidas. Manter-se proativo e cauteloso pode ajudar a mitigar os riscos representados por esse paradigma de ataque em evolução.

O IBM Trusteer ajuda a detectar fraudes e malware, autenticar usuários e estabelecer confiança na identidade em toda a jornada do cliente. Mais de 500 organizações líderes confiam no IBM Trusteer para ajudar a proteger as jornadas digitais de seus clientes e apoiar o crescimento dos negócios.

Mixture of Experts | 28 de agosto, episódio 70

Decodificando a IA: resumo semanal das notícias

Participe do nosso renomado painel de engenheiros, pesquisadores, líderes de produtos e outros enquanto filtram as informações sobre IA para trazerem a você as mais recentes notícias e insights sobre IA.
Assista aos episódios mais recentes do podcast

Recursos

Veja por que a KuppingerCole classifica a IBM como líder

O relatório sobre plataformas de segurança de dados da KuppingerCole traz orientações e recomendações para encontrar produtos de proteção e governança de dados confidenciais que melhor atendam às necessidades dos clientes.
IBM X-Force Threat Intelligence Index 2025

Consiga insights para se preparar e responder a ciberataques com maior velocidade e eficácia com o IBM X-Force Threat Intelligence Index.
Total Economic Impact (TEI) do Guardium Data Protection

Descubra os benefícios e o ROI do IBM Security Guardium Data Protection neste estudo do TEI da Forrester.
Gartner® Market Guide for AI TRiSM

Acesse o relatório Gartner® para saber como gerenciar todo o inventário de IA, proteger as cargas de trabalho de IA com barreiras de proteção, reduzir riscos e gerenciar o processo de governança para ter confiança em IA para todos os casos de uso de IA na sua organização.
Como navegar no cenário regulatório e o impacto na proteção e armazenamento de dados

Aprenda estratégias para simplificar e acelerar seu roteiro de resiliência de dados, além de atender aos mais recentes requisitos de conformidade normativa.

Expanda suas habilidades com tutoriais de segurança gratuitos

Siga etapas claras para realizar tarefas e aprender a utilizar a tecnologia com eficácia em seus projetos.
O que é gerenciamento de acesso e identidade (IAM)?

O gerenciamento de acesso e identidade (IAM) é um campo da cibersegurança que lida com as permissões de acesso e recursos dos usuários.
Soluções relacionadas
Soluções de segurança e proteção de dados

Proteja os dados em vários ambientes, cumpra os regulamentos de privacidade e simplifique a complexidade operacional.

         Conheça as soluções de segurança de dados
    IBM Guardium

    Conheça o IBM Guardium, uma família de software de segurança de dados que protege os dados confidenciais no local e na nuvem.

     

             Explore o IBM Guardium
      Serviços de segurança de dados

      A IBM oferece serviços abrangentes de segurança de dados para proteger dados corporativos, aplicações e IA.

             Explore os serviços de segurança de dados
      Dê o próximo passo

      Proteja os dados da sua organização em toda a nuvem híbrida e simplifique os requisitos de conformidade com soluções de segurança de dados.

             Conheça as soluções de segurança de dados Agende uma demonstração em tempo real