Mispadu bank trojanske masker selv under McDonalds annonce

ESET eksperter talte om en bank Trojan Mispadu fra Latinamerika, at masker under McDonalds annonce for fordeling.

THan vigtigste mål med den trojanske er at stjæle penge og legitimationsoplysninger. Det er interessant, at i Brasilien, malware også breder sig som en ondsindet udvidelse til Google Chrome og forsøger at stjæle bank kortdata og netbank, og også truer brugere af billets betalingssystem.

Den Mispadu malware familie blev opdaget under en undersøgelse af bank trojanere i Latinamerika designet til at angribe brugere fra Brasilien og Mexico.

”Den malware er skrevet i Delphi og angriber sine ofre ved hjælp af de samme metoder som den trojanske heste Amavaldo og Casbaneiro som tidligere blev opdaget af eksperter. Dette er først og fremmest brugen af ​​falske pop-ups og forsøg på at overbevise potentielle ofre til at give fortrolige oplysninger til angriberne”, – sige ESET forskere.

Mispadu breder gennem spam og ondsindede reklamer. Den anden metode til fordeling er ikke typisk for latin amerikanske bankfolk, så dets forskere studeret flere detaljer.

Så, svindlere startede ved at sende kommercielle udgivelser på Facebook, som tilbød brugere rabatkuponer ved McDonalds. Ved at klikke på en sådan reklame, et potentielt offer hentet en ZIP-fil maskeret som en rabat kupon og indeholdende MSI installatør. Sommetider arkiver indeholder også lovlig software, fx Mozilla Firefox eller PuTTY, men disse er blot lokkefugle, der ikke anvendes på alle. Ved at lancere et sådant arkiv, brugeren, Selvfølgelig, ikke modtager en rabatkupon, men en Mispadu bank trojan.

Interessant, Mispadu operatører brugte Yandex.Mail til at gemme deres nyttelast. Tilsyneladende, de kriminelle åbnet en konto på Yandex.Mail, sendte et brev med en ondsindet kupon som en vedhæftet fil til sig selv, og derefter forsynet ofrene med et direkte link til denne vedhæftede fil.

På en inficeret enhed, Mispadu er i stand til at tage screenshots, simulere muse- og tastaturhandlinger, og også opfange tastetryk.

”Den malware kan opdatere sig selv gennem Visual Basic Script (VBS) fil, som det henter og kører. Mispadu overvåger også indholdet af klippebordet og forsøger at erstatte adresserne på Bitcoin-punge, der får der med adresserne på dets operatører, som Casbaneiro gjorde”, – rapportere ESET eksperter.

alligevel, efter at have studeret pung af angriberne, Forskerne konkluderede, at indtil videre disse forsøg har ikke været særligt vellykkede.

Ligesom andre latinamerikanske bankfolk, Mispadu indsamler detaljerede oplysninger om sine ofre: OS-version, computerens navn, informationssystem sprog, en liste over latin amerikanske banker installeret i ansøgningssystemet, en liste over installerede sikkerhedsprodukter, Information installation til Diebold Warszawa GAS Tecnologia (et populært program for Brasilien adgang beskyttelse til netbank).

Læs også: Trojan Predator De Thief angreb nemme penge kærester og cryptocurrency jægere

Som nævnt ovenfor, i Brasilien, malware bredte som en ondsindet forlængelse af securty System 1.0 til Google Chrome, Det er, Det blev fundet i den officielle Chrome Webshop mappe. Den ondsindede handlingsprogram til denne udvidelse kan ses nedenfor.

Mispadu masker selv som McDonalds annonce
Den ondsindede handlingsprogram.

Siden Tiny.cc korte URL'er blev brugt under Mispadu brasilianske kampagne, eksperter var i stand til at indsamle statistik. Kampagnen tiltrak næsten 100,000 klik fra Brasilien alene. Klik, der kommer fra Android-enheder er mest sandsynligt et resultat af en fejl, som Facebook annoncer blev vist til brugere, uanset hvilken enhed, der bruges.

Det kan også bemærket, at den ondsindede kampagne havde klare faser: en fase sluttede i anden halvdel af september 2019, og kampagnen re-aktiveret i begyndelsen af ​​oktober 2019.

Polina Lisovskaya

Jeg har arbejdet som marketingchef i årevis nu og elsker at søge efter interessante emner for dig

Efterlad et Svar

Tilbage til toppen knap