ESET 전문가 이야기 라틴 아메리카에서 은행 트로이 목마 Mispadu에 대한 해당 메일에 대한 맥도날드의 광고에서 마스크.
티그는 트로이 목마의 주요 목표는 돈과 자격 증명을 훔치는. 그것은 브라질에서 그 재미있다, 구글 크롬에 대한 악의적 인 확장으로 악성 코드 또한 스프레드와 은행 카드 데이터와 온라인 뱅킹을 훔치려, 또한 사용자에게 위협 철판 지불 시스템.Mispadu 악성 코드 제품군은 라틴 아메리카에서 은행 트로이 목마의 연구 기간 동안 발견 된 브라질과 멕시코의 사용자를 공격하도록 설계.
"악성 코드는 델파이로 작성 이전에 전문가들에 의해 발견 된 트로이 목마 Amavaldo 및 Casbaneiro과 같은 방법을 사용하여 피해자를 공격한다. 이것은 "주로 공격자에게 기밀 정보를 제공하기 위해 잠재적 인 피해자를 설득하기 위해 가짜 팝업 및 시도의 사용이다, – ESET 연구원을 말한다.
Mispadu 스팸 및 악성 광고를 통해 확산되고있다. 분포의 두 번째 방법은 라틴 아메리카의 은행에 대한 일반적이지 않습니다, 그래서 그 연구팀은 자세한 내용을 공부.
그래서, 사기꾼은 페이스 북에 상업 출판물을 게시하여 시작, 사용자가 맥도날드에서 쿠폰을 할인 제공하는. 이러한 광고를 클릭하여, 잠재적 인 피해자는 ZIP 파일을 다운로드 할인 쿠폰으로 마스크 그리고 MSI 설치 프로그램을 포함. 때로는 아카이브는 합법적 인 소프트웨어를 포함, 모질라 파이어 폭스 또는 퍼티로, 그러나이 전혀 사용되지 않는 단지 미끼는. 이러한 아카이브를 실행하여, 사용자, 당연하지, 할인 쿠폰을받지 않습니다, 하지만 Mispadu는 트로이 목마를 은행.
재미있게, Mispadu 운영자는 자신의 페이로드를 저장하는 Yandex.Mail을 사용. 분명히, 범죄자는 Yandex.Mail에 계정을 개설, 자신에게 첨부 파일로 악성 쿠폰 편지를 보내, 다음이 첨부 파일에 대한 직접 링크와 피해자를 제공.
감염된 장치에, Mispadu 스크린 샷을 할 수있다, 시뮬레이션 마우스와 키보드 동작, 또한 차단 키 입력.
"악성 코드는 비주얼 베이직 스크립트를 통해 자동으로 업데이트 할 수 있습니다 (VBS) 파일이 다운로드 것을 및 실행. Mispadu 또한 운영자의 주소 거기 비트 코인 - 지갑의 주소를 대체하는 클립 보드와 시도의 내용을 모니터링, Casbaneiro는 "처럼, – ESET 전문가를보고.
그렇지만, 공격자의 지갑을 공부 한 후, 연구진은 지금까지 이러한 시도는 특히 성공하지 않은 것으로 결론을 내렸다.
다른 라틴 아메리카의 은행처럼, Mispadu는 피해자에 대한 자세한 정보를 수집: OS 버전, 컴퓨터 이름, 시스템 언어 정보, 라틴 아메리카 은행의 목록은 응용 시스템에 설치, 설치된 보안 제품의 목록, 다이 볼드 바르샤바 가스 TECNOLOGIA에 대한 설치 정보 (온라인 뱅킹 브라질 액세스 보호를위한 인기있는 응용 프로그램).
또한 읽기: 트로이 목마 프레데터 도둑 공격 쉽게 돈 애호가 및 암호 화폐 사냥꾼
상술 한 바와 같이, 브라질에서, 악성 코드는 Securty 시스템의 악의적 인 확장으로 확산되었다 1.0 구글 크롬에 대한, 그건, 그것은 공식 크롬 웹 스토어 디렉토리에서 발견되었다. 이 확장에 대한 악의적 인 작업 방식은 아래에서 볼 수 있습니다.
Tiny.cc 짧은 URL은 Mispadu 브라질 캠페인 중에 사용 된 이후, 전문가들은 통계를 수집 할 수 있었다. 이 캠페인은 거의 매력 100,000 클릭 혼자 브라질. 안드로이드 기기에서 나오는 클릭 수는 오류의 가능성이 가장 높은 결과입니다, 페이스 북 광고는 기기의 종류에 상관없이 사용자에게 표시 사용했다.
또한 악의적 인 캠페인이 명확 상을 한 것으로 알 수있다: 하나의 단계는 9 월 하반기에 종료 2019, 및 캠페인 10 월 초 재 활성화 2019.
한 의견