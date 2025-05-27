Mispadu 又名 Ursa，是一种远程覆盖式金融恶意软件，其目标是针对西班牙语和葡萄牙语国家或地区（例如墨西哥、哥伦比亚、阿根廷、智利、葡萄牙、西班牙等）的银行。简单来说，远程覆盖式恶意软件是一种恶意程序，旨在通过控制受害者的鼠标和键盘设备来控制其系统，而欺诈者可以看到受害者的实时屏幕。
Mispadu 于 2019 年首次出现，并于 2022 年再次出现。与同类的 Mekotio 和 Grandoreiro 一样，Mispadu 也是用 Delphi 编程语言编写的。不同的是，Mispadu 很少在野外活动，直到最近才在中美洲、拉丁美洲和欧洲的多个国家或地区出现新的活动。有关 Mekotio 的更多信息，请参阅我们以前的博客文章：Mekotio 银行木马以拉丁美洲为目标。
随着 Mispadu 的重现，其运营发生了几项变化，包括命令与控制 (C2C) 通信编码，这正是本文我们将探讨的重点。
作为一个远程覆盖程序，该恶意软件与其运营商的通信对于攻击成功至关重要。这种通信通常是欺诈者向受害者系统上运行的恶意程序发送的一系列操作指令。
许多覆盖式攻击，例如通过受害者的银行盗取资金，都是在欺诈者观察和控制受害者的实时会话时实施的。
虽然凭直觉认为，用户执行该恶意程序后会立即与欺诈者通信，但情况并非如此。这种通信会给欺诈者带来巨大风险，因为它可能会触发防病毒程序发出警报。
在我们的场景以及涉及其他远程覆盖的大多数案例中，仅在用户访问该恶意软件的某一目标（特别是西班牙语或葡萄牙语国家或地区的银行互联网站点）后才启动通信。
当用户访问该恶意软件目标列表中的某一目标时，就会与 C2C 服务器建立通信。这是通过 WIN32 Socket API 实现的，该接口为此类通信提供了最便捷的方法。
在设置套接字之前，该恶意软件会填充套接字的信息，包括目标端口和地址。
套接字连接成功后，会向 C2C 服务器发送消息“GFHHVG...”。
在连接套接字并向 C2C 服务器发送信标后，该恶意软件会等待 C2C 服务器的输入。接收消息后，将根据所收消息的序列，由以下一种“读取”函数处理消息：
这些函数彼此相似，目的都是解析接收自 C2C 的消息。
我们来深入研究一下第一个函数”TwYHJk1_wC51Read“：
该恶意软件收到来自 C2C 的消息后，会通过解码消息并与表示命令的字符串进行比较来完成解析。在此代码片段的第一个“读取”函数中，第一个进行比较的命令是“<|SocketMain|>”。在其他“读取”函数中，比较的命令各不相同。
注意地址 0x7364A8 中的函数。
此函数负责解码整条消息。它接收了一个字符串，经过多次数学运算后，返回一个解码后的字符串。
我们来仔细看看这个函数内部，探索它的算法。
通信编码用于掩盖欺诈者的意图和操作方法。这可以使用既有或定制的通信算法来实现。正如我们之前展示的，消息“GFHHV..”似乎是一条经过编码的消息，由于它看似随意且毫无意义，因此引起了编码的怀疑。
对 C2C 通信解码函数展开研究时，我们发现解码机制的实施非常简单，并且其用途就是解码接收自 C2C 服务器的消息。对发送到 C2C 服务器的消息进行编码也采用了同样的机制。
我们以上面的示例作为解码对象。“GFHHVGCGEFUGAFOFUGCFMFXHVFJ@”
我们把解码过程分为以下步骤：
第 1 步：取第一个字符 (“G” GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) 并将其转换为 ASCII。它的值为 71。将该值减去 65（“A”的 ASCII 值）。结果是 6。
6 是我们在解码过程中的重复值，稍后我们再继续讨论。
第 2 步：取下一个字符 (“F” GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) 并将其转换为 ASCII。它的值为 70。减去 65（”A“ 的 ASCII 值）。
结果是 5。
我们假设它是变量 X。
这两行汇编代码可以用以下等式表示：
(X + 4X) + (X + 4X)*4 => 25X = 25*5 = 125
第 3 步：取下一个字符 (“H” GFHHVGCGEFUGAFOFUGCFMFXHVFJ)，ASCII 值为 72。减去字母“A”的 ASCII 值：结果为 7。
将上一步的结果与该值相加。125 + 7 = 132。
从该值中减去两个值——常量值 66（“B”）和第 1 步的值。132 – 66 – 6 = 60。对应的 ASCII 字符是 “<”。这是解码后的字符串的第一个字符。
第 4 步：使用下一对字符（“H”和“V”GFHHVG..）重复执行第 2 步和第 3 步，每次附加上下一个解码后的字符，以此构建解码后的字符串。
第 5 步：“@”表示字符串结束GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
现在我们可以打印出编码文本的解码结果：<|PRINCIPAL|>
此字符串代表该恶意软件向 C2C 服务器发送的初始通信信标。
这种编码和解码方法的一个后果是，不同的编码字符可以得出相同的解码字符。
例如，字符 GGC 和 AFV 都会映射到同一个字符，即 P。
再举一个例子，针对更复杂的情况。说到字符串，“GFHHVGCGEFUGAFOFUGCFMFXHVFJ”和“AFBHPFVFXFOFTRFID AFBHPFVFXFOFTFIFOFVFGFRHPFD”都会解码为相同的明文。
这种编码和解码算法的一个优点是，如果网络被监控，几乎不可能在未获得解码算法的情况下理解恶意软件的运作模式。这是由于每个命令都有大量不同的编码选项，导致恶意软件在执行同一操作模式时，每次在网络监视器上呈现的特征都不相同。
命令解码后，样本的后续执行流程便非常清晰了。每条命令都有自己的操作功能，使欺诈者能够在受害者的系统上执行各种任务，包括屏幕监控、鼠标和键盘控制等。
我们来深入了解一下该恶意软件中实施的能让欺诈者在受害者的系统上执行各种任务的命令。
建立通信后，该恶意软件会向 C2C 服务器发送一个标记为“<|PRINCIPAL|>”的信标，指示网络已建立。
完成这一初始步骤后，欺诈者就可以全面控制受害者的系统，并能够执行各种任务。其中一个关键命令就是提取有价值的系统信息。这是由“<|Info|>”命令促成的，此命令可用于导出有关受害者系统的基本详细信息。此类详细信息包括 Windows 版本、地理位置、当前使用的浏览器以及正在查看的网页。下面举例说明该恶意软件收到此命令后，向 C2C 服务器回传的响应：
"<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<"
此响应表明受害者的系统运行的是 Windows 10，正在使用 Chrome，并且目前正在查看银行 x 的网页，时间为下午 4:04:12。
这些信息被盗有多种原因。了解受害者设备的操作系统可以简化使用其他恶意工具破坏系统的过程，因为每个工具可能支持不同的系统版本，并且了解受害者的目标银行站点可帮助欺诈者成功完成攻击。
远程覆盖式攻击是当今用户银行账户面临的最普遍的威胁之一，对银行及其客户均构成重大风险。此类攻击的一个关键方面是恶意软件需要与攻击者建立通信，这与它们的攻击方法密不可分。建立直接、实时的通信对于执行此类攻击至关重要。恶意软件将此通信编码，旨在加大逆向分析的难度，进一步加固其防御堡垒。作为网络安全专家，我们的首要目标是监控、分析并阻止此类通信，防止攻击者成功实施欺诈活动。
为了保护自己，用户应定期检查其安装的应用程序，及时删除任何未知或可疑的应用程序。
此外，还必须监测电子邮件账户是否存在异常活动（例如意外的登录尝试），并密切关注加密货币钱包是否存在未经授权的交易或未知操作。保持积极谨慎有助于降低这种不断演变的攻击范式带来的风险。
