mispadu - RunkIntel

# Mispadu (URSA) > Tipo: **malware - Banking Trojan / Infostealer** · Operador: SAMBA SPIDER · [CrowdStrike Intel](https://www.crowdstrike.com/en-us/blog/latam-ecrime-malware-evolution-2024/) ## Visão Geral [[s1122-mispadu|Mispadu]] (também rastreado como **URSA**, **Botnet Fenix** e **Manipulated Caiman**) e um trojan bancario e infostealer desenvolvido no Brasil, ativo desde 2019, operado pelo grupo criminoso rastreado pela CrowdStrike como **SAMBA SPIDER**. E uma das familias de malware bancario mais prevalentes da América Latina, atualmente o #1 banking trojan monitorado pela Cofense em campanhas semanais. Em 2024, o Mispadu foi apontado em relatorios da Duke University/Recorded Future como um dos cinco principais atores de ameaça contra o setor financeiro da LATAM, ao lado de LockBit, CL0P, Horabot e Blind Eagle. O malware e escrito em **Delphi** para o componente principal e utiliza VBScript/JavaScript para downloaders. Sua cadeia de infecção multi-estagio evoluiu significativamente em 2024 com a introdução de um componente JavaScript e versoes numeradas até a versao 100. O Mispadu implementa **geofencing** - verificando o código de idioma do sistema (portugues brasileiro 1046, espanhol mexicano 2058) - para evitar infeccoes fora do escopo geografico. Uma caracteristica distintiva e a **auto-propagação via Outlook**, enviando emails maliciosos a partir de contatos da vitima infectada. **Plataformas:** Windows ## Como Funciona O Mispadu opera com cadeia multi-estagio tipica dos banking trojans brasileiros do grupo Tetrade: 1. **Entrega por malspam**: emails com faturas vencidas ou documentos fiscais (CFDI no Mexico, Nota Fiscal no Brasil) contendo PDF ou link para download de ZIP 2. **Downloader D1 (VBScript/HTA)**: executa verificação de idioma e ambiente virtual; se aprovado, baixa segundo estagio da nuvem (AWS S3, Google Cloud, MediaFire) 3. **Downloader D2 (AutoIt)**: carrega e decodifica payload Delphi; usa NirSoft tools (Web Browser Password Viewer, Email Password Recovery) para coleta de credenciais 4. **Payload principal (Delphi)**: monitora jánelas abertas buscando titulos correspondentes a bancos e exchanges alvo; quando detectado, exibe overlay fake para captura de credenciais 5. **Exfiltração**: credenciais e screenshots enviados ao C2; versao com SMTP Bot dispara spam a partir da vitima ## Attack Flow ```mermaid graph TB A["📧 Malspam - CFDI/NF Fatura vencida urgente PDF com link ou ZIP anexado"] --> B["📥 Download ZIP/MSI Cloud storage - AWS S3 Google Cloud / MediaFire"] B --> C["🔧 VBScript HTA D1 Verifica idioma PT-BR/ES-MX Detecta sandbox T1497.001"] C --> D["⚙️ AutoIt Loader D2 Decodifica payload Delphi Executa via DLL sideloading"] D --> E["🏦 Monitor de jánelas Busca titulos bancarios 50+ bancos LATAM alvo"] E --> F["🪤 Overlay fake Jánela falsa sobre banco real Captura credenciais T1185"] F --> G["📤 Exfiltração Credenciais + screenshots SMTP Bot propaga spam"] classDef delivery fill:#e74c3c,color:#fff classDef download fill:#e67e22,color:#fff classDef check fill:#f39c12,color:#fff classDef load fill:#3498db,color:#fff classDef monitor fill:#27ae60,color:#fff classDef overlay fill:#c0392b,color:#fff classDef exfil fill:#9b59b6,color:#fff class A delivery class B download class C check class D load class E monitor class F overlay class G exfil ``` ## Timeline de Campanha ```mermaid timeline title Mispadu - Evolução de Campanhas 2019 : Primeiro avistamento Campanha de desconto falso Brasil e Mexico 2020 : Expansao para Europa ESET documenta familia Versoes iniciais com VBScript 2021 : SCILabs rastreia "Malteiro" Operador identificado Kampanha em escala 2023 : Versoes D1/D2 downloaders CAPTCHA anti-análise Surge em atividade confirmada 2024 : SAMBA SPIDER campanha CFDI Versao 96-100 Componente JavaScript novo Europa: Italia Polonia Suecia 2025 : Top LATAM banking trojan Campanhas semanais ativas Auto-propagação Outlook ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Phishing | [[t1566-phishing\|T1566]] | Malspam com iscas fiscais | | Visual Basic | [[t1059-005-vba\|T1059.005]] | VBScript como downloader D1 | | JavaScript | [[t1059-007-javascript\|T1059.007]] | Novo componente JS (junho 2024) | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Multiplas camadas de ofuscacao | | System Checks | [[t1497-001-system-checks\|T1497.001]] | Verificação de idioma e VM | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots durante overlay | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas em formularios | | Browser Session Hijacking | [[t1185-browser-session-hijacking\|T1185]] | Overlay sobre sessao bancaria | | Credentials from Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | NirSoft Web Browser Password Viewer | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência no sistema | ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e LATAM > **Mispadu** é o **#1 banking trojan da América Latina** monitorado pelo Cofense em campanhas semanais ativas. O operador **SAMBA SPIDER** é rastreado ao Brasil e demonstra sofisticação crescente: em 2024 lançou versões até v.100, adicionou componente JavaScript e expandiu targeting para Europa. A capacidade de **auto-propagação via Outlook** transforma organizações infectadas em distribuidores involuntários do malware, amplificando campanhas sem infraestrutura adicional. Instituições financeiras brasileiras devem priorizar monitoramento de indicadores do Mispadu. O Brasil e o principal alvo do Mispadu, com o Mexico em segundo lugar. Em 2024, o Mispadu foi identificado como um dos cinco principais atores de ameaça ao setor financeiro da LATAM pelo Duke University Cybersecurity Research Program em parceria com a Recorded Future. O SAMBA SPIDER - operador brasileiro do Mispadu - demonstrou sofisticacao crescente ao longo de 2024, atualizando a cadeia de infecção para incluir componente JavaScript, lançando versoes numeradas até v.100, e expandindo targeting para Europa (Italia, Polonia, Suecia). A capacidade de auto-propagação via Outlook representa risco multiplicador único: organizacoes infectadas tornam-se involuntariamente distribuidores do malware para seus proprios contatos, amplificando o alcance da campanha sem necessidade de infraestrutura adicional do atacante. Instituicoes financeiras brasileiras devem priorizar o monitoramento de indicadores do Mispadu dado o volume e frequência das campanhas documentadas. ## Detecção e Defesa **Fontes de dados recomendadas:** - **Email gateway:** Regras para detectar MSI, HTA, ZIP com VBScript como anexos - vetores preferidos do Mispadu - **EDR - Comportamento:** Monitorar execução de `AutoIt3.exe` com argumentos apontando para scripts em diretorios temporarios - **YARA:** Strings Delphi caracteristicas do Mispadu incluindo lista hardcoded de bancos alvo (repositorio Any.Run e Malpedia) - **Sysmon ID 5 (ProcessTerminaté):** Mispadu encerra processos de segurança ao detectar ambiente protegido **Mitigacoes:** - Bloquear execução de MSI e HTA de fontes externas via GPO - Implementar MFA em todos os portais bancarios e sistemas financeiros criticos - Treinar usuarios para identificar phishing com temas fiscais em portugues e espanhol - Segmentar endpoints de usuarios financeiros da rede corporativa geral ## Referências - [CrowdStrike - LATAM eCrime Malware Evolution 2024](https://www.crowdstrike.com/en-us/blog/latam-ecrime-malware-evolution-2024/) - [CrowdStrike - Latin América Malware Updaté (SAMBA SPIDER)](https://www.crowdstrike.com/en-us/blog/latin-america-malware-update/) - [Cofense - Mispadu Phishing Baseline 2024](https://cofense.com/Blog/Mispadu-Phishing-Malware-Baseline) - [SCILabs - URSA/Mispadu Overlap Analysis 2023](https://blog.scilabs.mx/en/2023/10/08/ursa-mispadu-overlap-analysis-with-other-threats/) - [Trend Micro - Mispadu Banking Trojan Resurfaces](https://www.trendmicro.com/vinfo/br/security/news/cybercrime-and-digital-threats/mispadu-banking-trojan-resurfaces) - [ESET - LATAM Financial Cybercrime](https://web-assets.esetstatic.com/wls/en/papers/white-papers/ESET_LATAM_financial_cybercrime.pdf)