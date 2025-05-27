Mispadu, también conocido como Ursa, es un malware financiero de superposición remota que se dirige a bancos en países de habla hispana y portuguesa, como México, Colombia, Argentina, Chile, Portugal, España y más. En términos simples, el malware de superposición remota es un programa malicioso diseñado para controlar el sistema de la víctima controlando sus dispositivos de mouse y teclado mientras el estafador ve la pantalla en vivo de la víctima.
Mispadu apareció por primera vez en 2019 y reapareció en 2022. Al igual que sus homólogos, Mekotio y Grandoreiro, Mispadu está escrito en el lenguaje de programación Delphi. A diferencia de ellos, era menos común hasta hace poco, cuando se vieron nuevas campañas en varios países de América Central, América Latina y Europa. Para obtener más información sobre Mekotio, consulte nuestra entrada en el blog - Mekotio Banking Trojan Targeting Latin America.
Con el regreso de Mispadu, se produjeron varios cambios en sus operaciones, entre ellos la codificación de las comunicaciones de mando y control (C2C), que exploraremos en este artículo.
Como superposición remota, la comunicación del malware con su operador es crucial para un ataque exitoso. Esta comunicación suele ser una serie de comandos operativos transmitidos desde el defraudador al programa malicioso que se ejecuta en el sistema de la víctima.
Muchos ataques de superposición, como robar el dinero de la víctima a través de su cuenta bancaria, se ejecutan mientras el estafador observa y controla las sesiones en vivo de la víctima.
Aunque pueda parecer lógico que la comunicación con el estafador se produzca inmediatamente después de que el usuario ejecute el programa malicioso, no es así. Este tipo de comunicación supone un riesgo significativo para el estafador, ya que podría activar las alertas de los programas antivirus.
En nuestro escenario y en la mayoría de los casos que involucran otras superposiciones remotas, la comunicación se inicia solo después de que el usuario accede a uno de los objetivos del malware, específicamente los sitios de Internet de bancos de países de habla hispana o portuguesa.
Cuando el usuario accede a una de las listas de objetivos del malware, se establece la comunicación con el servidor C2C. Esto se logra mediante las API de socket WIN32, que proporcionan el método más conveniente para dicha comunicación.
Antes de configurar el socket, el malware rellena la información del socket, incluyendo el puerto y la dirección de destino.
Una vez conectado el socket, se envía el mensaje 'GFHHVG..' al servidor C2C.
Después de conectar el socket y enviar la baliza al servidor C2C, el malware espera la entrada del servidor C2C. Una vez recibido, el mensaje es manejado por una de las siguientes funciones de "lectura", dependiendo de la secuencia del mensaje recibido:
Estas funciones son similares entre sí y su propósito es analizar los mensajes que se reciben del C2C.
Profundicemos en la primera función “TwYHJk1_wC51Read”:
Una vez que el malware recibe un mensaje del C2C, lo analiza descodificando el mensaje y luego comparándolo con una cadena que representa un comando. En la primera función de "lectura" como se ve en el fragmento, el primer comando comparado es "<|SocketMain|>". En las otras funciones de "lectura", los comandos comparados son diferentes.
Tenga en cuenta la función en la dirección 0x7364A8.
Esta función es responsable de decodificar todo el mensaje. Recibe una cadena y, tras varias manipulaciones matemáticas, devuelve una cadena decodificada.
Miremos dentro de esa función y descubramos su algoritmo.
La codificación de la comunicación sirve para ocultar las intenciones y los métodos operativos del estafador. Esto se puede lograr utilizando algoritmos de comunicación preexistentes o personalizados. Como mostramos anteriormente, el mensaje 'GFHHV..' parece ser un mensaje codificado que, debido a su naturaleza aparentemente aleatoria y sin sentido, plantea la sospecha de codificación.
Cuando investigamos la función de decodificación de comunicación C2C, podemos ver que la implementación del mecanismo de decodificación es sencilla y sirve para decodificar los mensajes recibidos del servidor C2C. Este mismo mecanismo también se utiliza para codificar los mensajes enviados al servidor C2C.
Tomemos el ejemplo anterior que queremos decodificar. “GFHHVGCGEFUGAFOFUGCFMFXHVFJ@”
Dividamos el proceso de decodificación en los siguientes pasos:
Paso 1: Toma el primer carácter (“G” GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) y conviértelo a ASCII. Tiene un valor de 71. De este valor, resta 65 (el valor ASCII de 'A'). El resultado es 6.
6 es nuestro valor repetitivo durante el proceso de decodificación, al que volveremos más adelante.
Paso 2: Toma el siguiente carácter (“F” GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) y conviértelo a ASCII. Tiene un valor de 70. Reste 65 (valor ASCII de 'A').
El resultado es 5.
Supongamos que es una variable X.
Las dos líneas de código de ensamblador se pueden representar con la siguiente ecuación:
(X + 4X) + (X + 4X)*4 => 25X = 25*5 = 125
Paso 3: Tome el siguiente carácter (“H” GFHHVGCGEFUGAFOFUGCFMFXHVFJ), valor ASCII: 72. Reste el valor ASCII 'A': resultado 7.
Sume a ese valor el resultado del paso anterior. 125 + 7 = 132.
De ese valor, reste dos valores: un valor constante de 66 ("B") y el valor del paso 1. 132 – 66 – 6 = 60. En ASCII, "<". Este es el primer carácter de nuestra cadena decodificada.
Paso 4: Iterar nuevamente el Paso 2 + Paso 3 con el siguiente par de caracteres (“H” y “V” GFHHVG..), construyendo la cadena decodificada agregando el siguiente carácter decodificado cada vez.
Paso 5: “@” Representa el final de la cadena GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
Ahora podemos imprimir el resultado de decodificar el texto codificado: <|PRINCIPAL|>
Esta cadena representa la baliza de comunicación inicial enviada desde el malware al servidor C2C.
Una consecuencia de esta metodología de codificación y decodificación es que distintos caracteres codificados pueden producir el mismo carácter decodificado.
Por ejemplo, los personajes GGC y AFV se asignan al mismo carácter P.
Otro ejemplo, para un escenario más complicado. Hablando de cadenas, tanto «GFHHVGCGEFUGAFOFUGCFMFXHVFJ» y «AFBHPFVFXFOFTFIFOFVFGFRHPFD» se descodificarían con el mismo texto plano.
Uno de los beneficios de dichos algoritmos de codificación y decodificación es que si se monitorea la red, es casi imposible comprender el modo de operación del malware sin obtener el algoritmo de decodificación. Esto se debe a la gran variedad de opciones de codificación disponibles para cada comando, lo que hace que el mismo modo de operación realizado por el malware parezca diferente cada vez para el monitor de red.
Una vez decodificado el comando, el camino a seguir para la muestra es bastante sencillo. Cada comando posee su propia función operativa, lo que permite al estafador realizar diversas tareas en el sistema de la víctima, incluida la supervisión de pantalla, el control del mouse y el teclado y muchas más.
Profundicemos en los comandos implementados en el malware que permiten al estafador ejecutar varias tareas en el sistema de la víctima.
Al establecer la comunicación, el malware envía una baliza, denominada "<|PRINCIPAL|>", al servidor C2C para señalar el establecimiento de la red.
Una vez que se completa este paso inicial, el estafador obtiene un amplio control sobre el sistema de la víctima, capaz de realizar una amplia gama de tareas. Un comando crucial es la extracción de información valiosa del sistema. Esto se ve facilitado por el comando "<|Info|>", que se utiliza para exportar detalles fundamentales sobre el sistema de la víctima. Estos detalles abarcan la versión de Windows, la ubicación geográfica, el navegador activo actualmente y la página web actual que se está viendo. A continuación se muestra una respuesta ilustrativa del malware a este comando, enviada al servidor C2C:
"<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<"
Esta respuesta indica que el sistema de la víctima ejecuta Windows 10, usa Chrome y actualmente está viendo una página web del Banco x a las 4:04:12 p.m.
Esta información se roba por varias razones. Conocer el sistema operativo del dispositivo de la víctima puede facilitar el proceso de comprometer su sistema con herramientas maliciosas adicionales, ya que cada herramienta puede admitir diferentes versiones del sistema, y conocer el sitio del banco objetivo de la víctima puede ayudar al estafador a lograr un ataque exitoso.
Los ataques de superposición remota se encuentran entre las amenazas más frecuentes para las cuentas bancarias de los usuarios en la actualidad, lo que plantea riesgos significativos tanto para los bancos como para sus clientes. Un aspecto crítico de estos ataques implica la comunicación del malware con sus operadores, que es parte integral de su metodología operativa. Establecer una comunicación directa y en vivo es esencial para ejecutar este tipo de ataques. Al codificar dicha comunicación, el malware pretende dificultar la reversión del proceso y poner otro ladrillo en su muro defensivo. Como expertos en ciberseguridad, nuestro objetivo principal es monitorear, analizar y bloquear estas comunicaciones para evitar la implementación exitosa de actividades fraudulentas.
Para protegerse, los usuarios deben revisar periódicamente sus aplicaciones instaladas, eliminando rápidamente cualquier aplicación desconocida o sospechosa.
Además, es fundamental vigilar las cuentas de correo electrónico para detectar actividades inusuales, como intentos inesperados de inicio de sesión, y vigilar de cerca las carteras de criptomonedas para transacciones no autorizadas o acciones desconocidas. Mantenerse proactivo y cauteloso puede ayudar a mitigar los riesgos que plantea este paradigma de ataque en evolución.
IBM Trusteer le ayuda a detectar fraudes y malware, autenticar usuarios y establecer confianza de identidad en todo el recorrido omnicanal del cliente. Más de 500 organizaciones líderes confían en IBM Trusteer para ayudar a proteger los recorridos digitales de sus clientes y respaldar el crecimiento del negocio.
El informe de plataformas de seguridad de datos de KuppingerCole ofrece orientación y recomendaciones para encontrar productos de protección y gobernanza de datos confidenciales que satisfagan mejor las necesidades de los clientes.
Obtenga insights para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Descubra los beneficios y el retorno de la inversión (ROI) de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con medidas de seguridad, reducir el riesgo y gestionar el proceso de gobernanza para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Conozca las estrategias para simplificar y acelerar su hoja de ruta de resiliencia de datos mientras se abordan los últimos requisitos de cumplimiento normativo.
Siga pasos claros para completar tareas y aprenda a usar tecnologías de manera efectiva en sus proyectos.
Proteja los datos en múltiples entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.
Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales on premises y en la nube.
IBM ofrece servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones e IA.
Proteja los datos de su organización en las distintas nubes híbridas y simplifique los requisitos de cumplimiento normativo con soluciones de seguridad de datos.