# Mispadu (SAMBA SPIDER) > [!warning] **Mispadu (SAMBA SPIDER)** é um grupo de ameaça atribuído a **Brasil / México** ativo desde **2019**. ## Perfil **Mispadu** (também rastreado como URSA e operado pelo grupo **SAMBA SPIDER**) é um trojan bancário desenvolvido em Delphi, documentado pela primeira vez pela [[ESET]] em novembro de 2019. O malware foi projetado específicamente para atacar vítimas em países de língua espanhola e portuguesa, com foco primário no [[latam|Brasil]] e [[latam|México]]. **Visão geral:** - Origem geográfica: América Latina (Brasil/México) - Motivação primária: financeira (roubo de credenciais bancárias e cartões) - Período de atividade: 2019 até o presente - Perfil de sofisticação: médio-alto - Relevância para LATAM/Brasil: **crítica** - alvo primário - Modelo operacional: Malware-as-a-Service (MaaS) - vendido a outros operadores criminosos **Descrição:** O grupo SAMBA SPIDER opera o Mispadu e o vende para outros adversários em um modelo MaaS. Em 2023, uma única campanha comprometeu mais de 90.000 credenciais bancárias de 17.500 websites. O trojan é capaz de roubo monetário, captura de credenciais, screenshots, keylogging e funcionalidade de backdoor. Em 2024, o grupo expandiu operações para a Europa, comprometendo milhares de credenciais adicionais em países como [[Espanha]], [[Portugal]], [[Itália]] e [[Bélgica]]. O Mispadu faz parte da família de trojans bancários latino-americanos ao lado de [[s0531-grandoreiro]], [[s0373-astaroth]] (Guildma), [[brasdex]] e [[pixpiraté]] - todos compartilhando técnicas e infraestrutura similares. ## TTPs Principais | Tática | Técnica | ID ATT&CK | Descrição | |--------|---------|-----------|-----------| | Initial Access | Spear-phishing Attachment | [[t1566-001-spearphishing-attachment]] | Emails com anexos ZIP contendo URLs maliciosas | | Initial Access | Spear-phishing Link | [[t1566-002-spearphishing-link]] | Links para download de payloads via sites falsos | | Execution | User Execution | [[t1204-user-execution]] | Vítima executa arquivo .url ou instalador MSI | | Execution | Visual Basic | [[t1059-005-visual-basic]] | VBScript multi-estágio para download e execução | | Defense Evasion | System Binary Proxy Execution | [[t1218-system-binary-proxy-execution]] | Uso de Rundll32 para carregar DLLs maliciosas | | Defense Evasion | DLL Side-Loading | [[t1574-002-dll-side-loading]] | Sideloading via executáveis legítimos | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files]] | Ofuscação de scripts VBS e payloads | | Credential Access | Input Capture | [[t1056-input-capture]] | Overlay attacks em sites bancários + keylogging | | Collection | Data from Local System | [[t1005-data-from-local-system]] | Coleta de credenciais armazenadas em navegadores | | Exfiltration | Exfiltration Over C2 | [[t1041-exfiltration-c2]] | Envio de dados roubados via canal C2 | ## Attack Flow ```mermaid graph TB A["Spam Email<br/>ZIP + URL Falsa"] --> B["User Execution<br/>MSI / HTA / .url"] B --> C["VBScript Loader<br/>Multi-Estágio"] C --> D["DLL Side-Loading<br/>Rundll32 Proxy"] D --> E["Overlay Bancário<br/>Keylogging"] E --> F["Credential Theft<br/>Exfil via C2"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D laranja class E,F azul ``` **Legenda:** Emails de spam com ZIP contendo instaladores maliciosos, execução pelo usuário dispara cadeia VBScript multi-estágio, DLL side-loading via binários legítimos (Rundll32), overlay attacks que imitam interfaces de internet banking brasileiro para roubo de credenciais e exfiltração via C2. ## Campanhas Documentadas - **Campanha CFDI México (2024)** - Phishing impersonando o sistema de fatura eletrônica mexicano (CFDI). Emails redirecionavam para download de dropper HTA com VBScript ofuscado. - **Campanha Europa (2024)** - Expansão para [[Espanha]], [[Portugal]], [[Itália]] e [[Bélgica]], comprometendo milhares de credenciais em instituições financeiras europeias. - **Campanha SmartScreen Bypass (2024)** - Exploração de [[cve-2023-36025|CVE-2023-36025]] (Windows SmartScreen bypass) para evadir alertas de segurança durante entrega de payloads. - **Campanha 90K Credenciais (2023)** - Mais de 90.000 credenciais bancárias roubadas de 17.500 websites em campanha massiva contra [[latam|Brasil]] e [[latam|México]]. ## Infraestrutura e IoCs **Servidores de Comando e Controle (C2):** - Protocolos utilizados: HTTPS, HTTP - Infraestrutura compartilhada com: outros trojans bancários LATAM ([[s0531-grandoreiro]], [[s0373-astaroth]]) - Padrão de distribuição: emails de spam em massa, domínios clonados de instituições financeiras **Cadeia de entrega:** 1. Email de spam com arquivo ZIP 2. ZIP contém arquivo .url, instalador MSI ou script HTA 3. HTA/MSI baixa VBScript Stage 1 de servidor remoto 4. VBScript Stage 1 baixa VBScript Stage 2 5. Stage 2 carrega payload Mispadu via AutoIT ou Rundll32 (DLL side-loading) 6. Payload ativa overlay bancário e módulo de keylogging *Nota: IoCs rotacionam frequentemente. Consultar fontes atualizadas antes de usar em detecção.* ## Foco LATAM/Brasil O Mispadu é uma das ameaças **mais relevantes** para o setor bancário brasileiro. O trojan foi desenvolvido específicamente para atacar instituições financeiras da região e continua sendo ativamente distribuído. **Setores alvo no Brasil:** - [[financial]] - bancos comerciais, fintechs, processadoras de pagamento, corretoras - [[government]] - sistemas de fatura eletrônica, portais de serviço público - [[technology]] - provedores de email e armazenamento em nuvem **Diferencial de risco:** - Modelo MaaS permite que múltiplos operadores utilizem a plataforma simultaneamente - Overlay attacks sofisticados que imitam interfaces reais de internet banking brasileiro - Capacidade de bypass do Windows SmartScreen via [[cve-2023-36025|CVE-2023-36025]] - Evolução contínua - variantes com novas capacidades surgem a cada trimestre - Compartilhamento de TTPs com ecossistema de trojans LATAM ([[s0531-grandoreiro]], [[s0373-astaroth]], [[brasdex]]) - 2019-11-19 - [CrowdStrike - SAMBA SPIDER](https://www.crowdstrike.com/adversaries/samba-spider/) - Perfil do adversário - [CrowdStrike - LATAM eCrime Malware Evolution 2024](https://www.crowdstrike.com/en-us/blog/latam-ecrime-malware-evolution-2024/) - 2024 - [Unit 42 - Mispadu Stealer Variant](https://unit42.paloaltonetworks.com/mispadu-infostealer-variant/) - 2024 - [Morphisec - Mispadu Infiltration Beyond LATAM](https://www.morphisec.com/blog/mispadu-infiltration-beyond-latam/) - 2024 - [The Hacker News - 90,000+ Credentials Stolen](https://thehackernews.com/2023/03/mispadu-banking-trojan-targets-latin.html) - 2023 - [Huntress - Samba Spider Threat Profile](https://www.huntress.com/threat-library/threat-actors/samba-spider) - [SOC Prime - Mispadu + CVE-2023-36025](https://socprime.com/blog/mispadu-stealer-detection-a-new-banking-trojan-variant-targets-mexico-while-exploiting-CVE-2023-36025/) **Atores relacionados:** [[s0531-grandoreiro]] · [[g0099-blind-eagle-apt-c-36]] · [[g0096-apt41]] **Campanhas:** [[grandoreiro-banking-campaign]] · [[grandoreiro-global-expansion-2024]] **Malware e ferramentas:** [[s0373-astaroth]] · [[brasdex]] · [[pixpiraté]] · [[s0154-cobalt-strike]] **TTPs principais:** [[t1566-001-spearphishing-attachment]] · [[t1059-005-visual-basic]] · [[t1218-system-binary-proxy-execution]] · [[t1574-002-dll-side-loading]] · [[t1056-input-capture]] **CVEs explorados:** [[cve-2023-36025|CVE-2023-36025]] **Setores alvejados:** [[financial]] · [[government]] · [[technology]] **Regiões:** [[latam]] · [[latam|Brasil]] · [[latam|México]] --- *Fonte: [ESET - Mispadu Discovery (2019)](https://www.welivesecurity.com/2019/11/19/mispadu-advertisement-discounted-Monterrey-beer/)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.