Os atores de ameaças por trás do trojan bancário Mispadu estão explorando uma falha de segurança do Windows SmartScreen, já corrigida, para comprometer usuários no México. Esses ataques envolvem uma nova variante do malware, observada pela primeira vez em 2019, conforme relatado pela Palo Alto Networks Unit 42.

Disseminado por meio de e-mails de phishing, o Mispadu é um ladrão de informações baseado em Delphi, conhecido por infectar especificamente vítimas na região da América Latina. Em março de 2023, as campanhas de spam do Mispadu coletaram pelo menos 90.000 credenciais de contas bancárias. Ele também faz parte da maior família de malware bancário da LATAM, incluindo o Grandoreiro, que foi desmantelado pelas autoridades policiais brasileiras na semana passada.

A mais recente cadeia de infecção identificada utiliza arquivos de atalho de internet falsos contidos em arquivos ZIP falsos que exploram a CVE-2023-36025 (pontuação CVSS: 8.8), uma falha grave de bypass no Windows SmartScreen, que foi corrigida pela Microsoft em novembro de 2023. Uma vez lançado, o Mispadu revela suas verdadeiras intenções ao selecionar vítimas com base em sua localização geográfica (ou seja, Américas ou Europa Ocidental) e configurações do sistema, e então procede para estabelecer contato com um servidor de comando e controle (C2) para a exfiltração de dados subsequente.