David García 25/01/21 3 min read

MISPADU: robo de credenciales registrando pulsación de teclas

Desde junio de 2020 y durante el último trimestre del año, un malware bancario para sistemas Windows ha estado aumentando la cantidad de víctimas y robando sus credenciales bancarias. Mispadu es un troyano bancario brasileño que se conoce desde finales de 2019, sin embargo, no ha tenido gran actividad hasta el final del año.

Entre septiembre y diciembre del pasado año 2020 se han lanzado nuevas campañas de este malware, donde lo más destacable es el aumento de entidades afectadas. En sus inicios estaba centrado en el robo de credenciales de entidades bancarias latinoamericanas, sin embargo, en estas últimas campañas sus autores parecen estar también interesados en el mercado español, habiendo añadido a la lista varias entidades españolas, además de portuguesas.

Al parecer los autores de bankers brasileños han estado interesados en víctimas de América Latina desde siempre, pero es en este último año cuando se está viendo un mayor interés por entidades españolas. Mispadu es solo uno más de los troyanos brasileños que se ha expandido a España, este mismo año troyanos bancarios como Grandoreiro o Mekoito/Pazera han ampliado su lista de afectados incluyendo entidades españolas.

Tras analizar Mispadu hemos podido observar que en realidad este troyano podría tratarse de una variante o una actualización del Mekoito/Pazera, un troyano brasileño que comparte una gran cantidad de funcionalidad y particularidades, como el protocolo de comunicación con el servidor de control o el modo de ejecución del malware (ambos utilizan una DLL maliciosa cargada con scripts de AutoIt).

Hay demasiados detalles entre ambos troyanos bancarios, lo que sugiere que probablemente se encuentren detrás de ellos los mismos autores. Es posible que Mispadu se trata de una versión nueva con ciertas mejoras que aún están probando y desarrollando para finalmente dejar de utilizar la versión de Pazera.

La DLL maliciosa que realiza el robo de credenciales está desarrollada en Delphi, un lenguaje muy utilizado por los desarrolladores de malware brasileños. Aunque el usuario no descarga esta DLL, sino que descarga un fichero adjunto en el email fraudulento que se trata de un instalador de Microsoft (MSI) que al ejecutarse ejecuta a su vez un Script Visual Basic (VBS) que finalmente realiza una serie de comprobaciones en el sistema y descarga DLL junto al ejecutable de AutoIt.

A lo largo del presente documento, vamos a ver como funciona este troyano bancario, incluyendo el método de infección, la estrategia que utiliza para robar las credenciales, otras funcionalidades interesantes y el protocolo de comunicación con el servidor de control.

avatar

David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.