s1122-mispadu - RunkIntel

# Mispadu > Tipo: **malware** · S1122 · [MITRE ATT&CK](https://attack.mitre.org/software/S1122) ## Descrição [[s1122-mispadu|Mispadu]] é um trojan bancário sofisticado escrito em Delphi, observado pela primeira vez em 2019, que utiliza um modelo de negócio Malware-as-a-Service (MaaS). Operado, gerenciado e vendido pelo grupo cibercriminoso [[g1026-malteiro|Malteiro]], o Mispadu tem como alvo primário usuários de internet banking no Brasil e México, com expansão documentada para toda a América Latina e para países europeus como Espanha e Portugal. A cadeia de infecção inicial frequentemente usa campanhas de spearphishing com links maliciosos ([[t1566-002-spearphishing-link|T1566.002]]) que levam ao download de instaladores MSI ([[t1218-007-msiexec|T1218.007]]). O Mispadu emprega múltiplas técnicas para maximizar o roubo de credenciais financeiras: keylogging ([[t1056-001-keylogging|T1056.001]]), capturas de tela disparadas por jánelas bancárias ([[t1113-screen-capture|T1113]]), roubo de credenciais de navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]) e instalação de extensões maliciosas ([[t1176-001-browser-extensions|T1176.001]]). O malware verifica o idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para confirmar que o alvo é de uma região-alvo antes de ativar funcionalidades maliciosas - técnica que dificulta análise em ambientes de sandbox com idioma inglês. O modelo MaaS operado pelo [[g1026-malteiro|Malteiro]] confere ao Mispadu escala e persistência: múltiplos operadores afiliados conduzem campanhas independentes usando a plataforma central, tornando o combaté mais complexo. Relatórios da ESET, Segurança da Ciberintelligência e outras fontes documentaram ondas de campanhas contínuas desde 2019, com o Mispadu continuando ativo e em evolução até pelo menos 2024. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1218-007-msiexec|T1218.007 - Msiexec]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1176-001-browser-extensions|T1176.001 - Browser Extensions]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1106-native-api|T1106 - Native API]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] ## Grupos que Usam - [[g1026-malteiro|Malteiro]] ## Detecção A detecção do Mispadu inclui monitoramento de execuções de msiexec.exe com URLs remotas ([[t1218-007-msiexec|T1218.007]]), rundll32.exe chamando DLLs desconhecidas ([[t1218-011-rundll32|T1218.011]]) e modificações em chaves de Run do registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). Acesso anômalo ao banco de dados de credenciais de navegadores e instalação de extensões de navegador não autorizadas ([[t1176-001-browser-extensions|T1176.001]]) são indicadores comportamentais importantes. Soluções de segurança com detecção específica para trojans bancários Delphi e monitoramento de tráfego DNS para domínios de C2 associados ao Malteiro complementam a estratégia defensiva. ## Relevância LATAM/Brasil O Mispadu é uma das ameaças mais relevantes para o setor financeiro brasileiro. Com o Brasil como alvo principal ao lado do México, o malware é distribuído específicamente com iscas em português brasileiro e tem comprometido usuários de grandes bancos nacionais. Instituições financeiras, fintechs e usuários finais de serviços bancários online no Brasil devem considerar o Mispadu como ameaça ativa de alta prioridade. O modelo MaaS do [[g1026-malteiro|Malteiro]] significa que novas ondas de campanhas ocorrem continuamente, com TTP e IOCs em constante evolução. ## Referências - [MITRE ATT&CK - S1122](https://attack.mitre.org/software/S1122) - [ESET - Mispadu Banking Trojan Targets Latin América](https://www.welivesecurity.com/2019/11/19/mispadu-advertisement-discounted-mcdonalds-coupons/) - [Segurança Ciberintelligência - Malteiro e Mispadu](https://www.metabaseq.com/mispadu)