ESET-Experten gesprochen über eine Bank Trojan Mispadu aus Lateinamerika, dass für die Verteilung Masken unter McDonalds ad.
Ter Hauptziel des Trojan stiehlt Geld und Anmeldeinformationen. Es ist interessant, dass in Brasilien, die Malware auch Spreads als bösartige Erweiterung für Google Chrome und versuchen, Bankkartendaten und Online-Banking zu stehlen, und droht auch Nutzer der Knüppel Bezahlsystem.Die Mispadu Malware-Familie während einer Studie von Bank-Trojaner in Lateinamerika entdeckt wurde entwickelt, um Benutzer aus Brasilien und Mexiko zum Angriff.
„Die Malware wird in Delphi geschrieben und greift seine Opfer die gleichen Methoden wie die Trojaner Amavaldo und Casbaneiro verwenden, die von den Experten zuvor entdeckt wurden. Dies ist vor allem die Verwendung von gefälschten Pop-ups und versucht potenzielle Opfer zu überzeugen, vertrauliche Informationen an Angreifer zur Verfügung zu stellen“, – sagen Forscher ESET.
Mispadu verbreitet sich durch Spam und böswillige Werbung. Die zweite Art der Verteilung ist nicht typisch für die lateinamerikanischen Banker, so seine Forscher weitere Details untersucht.
So, Scammer Gestartet von kommerziellen Publikationen auf Facebook veröffentlichen, die angebotenen Benutzer Coupons bei McDonald 's Rabatt. Mit einem Klick auf eine solche Anzeige, ein potenzielles Opfer heruntergeladen eine ZIP-Datei maskiert als Rabatt-Coupon und mit den MSI-Installations. Manchmal enthalten Archive auch legitime Software, wie Mozilla Firefox oder PuTTY, aber diese sind nur Attrappen, die nicht verwendet werden. Durch die Einführung eines solchen Archivs, der Nutzer, Na sicher, nicht einen Rabatt-Gutschein erhalten, aber ein Mispadu Banking-Trojaner.
Interessant, Mispadu Betreiber verwendet Yandex.Mail ihre Nutzlast zu speichern. Offenbar, die Verbrecher eröffnet ein Konto auf Yandex.Mail, geschickt, um sich einen Brief mit einem bösartigen Coupon als Anlage, und dann die Opfer mit einem direkten Link zu dieser Befestigung vorgesehen.
Auf einem infizierten Gerät, Mispadu ist in der Lage Screenshots zu nehmen, Simulieren von Maus und Tastatur Aktionen, und auch abfangen Tastenanschläge.
„Die Malware kann sich durch das Visual Basic Script aktualisieren (VBS) Datei, dass es herunterlädt und läuft. Mispadu überwacht auch den Inhalt der Zwischenablage und versucht, die Adressen von Bitcoin-Wallets zu ersetzen, die dort mit den Adressen der Betreiber, wie Casbaneiro tat“, – berichten ESET-Experten.
Dennoch, nach dem Geldbeutel der Angreifer studieren, Die Forscher stellten fest, dass bisher haben diese Versuche nicht besonders erfolgreich.
Wie bei anderen lateinamerikanischen Banker, Mispadu sammelt detaillierte Informationen über seine Opfer: OS Version, Computername, Systemsprache Informationen, eine Liste der lateinamerikanischen Banken installiert im Anwendungssystem, eine Liste der installierten Sicherheitsprodukte, Installationsinformationen für Diebold Warschau GAS Tecnologia (eine beliebte Anwendung für Brasilien Zugriffsschutz auf Online-Banking).
lesen Sie auch: Trojan Predator Der Dieb Angriffe leicht verdientes Geld Liebhaber und Kryptowährung Jäger
Wie oben erwähnt, in Brasilien, die Malware verbreitete sich als bösartige Erweiterung von Securty Systems 1.0 für Google Chrome, Das ist, es wurde in dem offiziellen Chrome Web Store-Verzeichnis gefunden. Das bösartige Aktionsprogramm für diese Erweiterung kann unten gesehen werden.
Da Tiny.cc wurden kurze URLs während Mispadu brasilianischen Kampagne verwendet, Experten konnten Statistiken sammeln. Die Kampagne lockte fast 100,000 Klicks aus Brasilien allein. Klicks kommen von Android-Geräten sind höchstwahrscheinlich das Ergebnis eines Fehlers, als Facebook-Anzeigen wurden unabhängig von dem Gerät angezeigten Benutzer verwendet.
Es kann auch bemerkt werden, dass die Hetzkampagne klare Phasen hatte: eine Phase endete in der zweiten Hälfte des Monats September 2019, und die Kampagne wieder aktiviert Anfang Oktober 2019.
Ein Kommentar