Hjem » Nyheter » Mispadu Banking Trojan maskerer seg etter McDonalds annonse

Mispadu Banking Trojan maskerer seg etter McDonalds annonse

ESET eksperter snakket om en bank Trojan Mispadu fra Latin-Amerika som masker henhold McDonalds annonse for distribusjon.

THan Hovedmålet med den trojanske er å stjele penger og legitimasjon. Det er interessant at i Brasil, malware også sprer seg som en ondsinnet forlengelse for Google Chrome og prøver å stjele bankkortet data og nettbank, og også truer brukere av billet betalingssystem.

Den Mispadu malware familien ble oppdaget under en studie av banktrojanerne i Latin-Amerika er utformet for å angripe brukere fra Brasil og Mexico.

“Den malware er skrevet i Delphi og angriper sine ofre ved hjelp av de samme metodene som trojanere Amavaldo og Casbaneiro som tidligere ble oppdaget av eksperter. Dette er i hovedsak bruk av falske pop-ups og forsøk på å overbevise potensielle ofre til å gi konfidensiell informasjon til angripere”, – sier ESET forskere.

Mispadu sprer seg gjennom spam og ondsinnet reklame. Den andre metoden for distribusjon er ikke typisk for Latin amerikanske bankfolk, så dens forskere studert mer informasjon.

Så, svindlere startet ved å publisere kommersielle publikasjoner på Facebook, som tilbød brukerne rabatt kuponger på McDonalds. Ved å klikke på en slik annonse, et potensielt offer lastet ned en ZIP-fil maskert som en rabattkupong og inneholdende ved hjelp av MSI. Noen ganger arkiver inneholder også legitim programvare, som Mozilla Firefox eller kitt, men disse er bare lokkeduer som ikke brukes i det hele tatt. Ved å lansere et slikt arkiv, brukeren, selvfølgelig, ikke får en rabattkupong, men en Mispadu Banking Trojan.

Interessant, Mispadu operatører brukt Yandex.Mail til å lagre sine nyttelast. Tilsynelatende, de kriminelle åpnet en konto på Yandex.Mail, sendte et brev med en ondsinnet kupong som vedlegg til seg selv, og deretter gitt ofrene med en direkte link til dette vedlegget.

LESE  NVidiaShare.exe forverres arbeidet til CPU. Hva å gjøre med NVidiaShare.exe?

På en infisert enhet, Mispadu er i stand til å ta skjermbilder, simulere muse- og tastaturhandlinger, og også fange opp tastetrykk.

“Den malware kan oppdatere seg selv gjennom Visual Basic Script (VBS) fil som den laster ned og kjører. Mispadu overvåker også innholdet i utklippstavlen, og prøver å erstatte adressene Bitcoin-lommebøker som får det med adressene til sine operatører, som Casbaneiro gjorde”, – rapportere ESET eksperter.

likevel, etter å ha studert den vesken av angrip, Forskerne konkluderte med at så langt disse forsøkene har ikke vært spesielt vellykket.

Som andre Latin amerikanske bankfolk, Mispadu samler detaljert informasjon om sine ofre: OS-versjon, datamaskinnavn, systemspråk informasjon, en liste over Latin amerikanske banker installert i søknadssystemet, en liste over installerte sikkerhetsprodukter, installasjonsinformasjon for Diebold Warszawa GAS Tecnologia (et populært program for Brasil tilgang beskyttelse til nettbank).

Les også: Trojan Predator Tyven angrep enkle penger elskere og kryptovaluta jegere

Som nevnt ovenfor, i Brasil, malware spredte seg som en ondsinnet forlengelse av Securty System 1.0 for Google Chrome, det er, det ble funnet i den offisielle Chrome Nettmarked katalog. Den ondsinnede handlinger ordningen for denne utvidelsen kan sees nedenfor.

Mispadu maskerer seg som McDonalds annonse
Den skadelige handlinger ordningen.

Siden Tiny.cc korte nettadresser ble brukt under Mispadu brasilianske kampanje, eksperter var i stand til å samle statistikk. Kampanjen tiltrukket nesten 100,000 klikk fra Brasil alene. Klikk som kommer fra Android-enheter er mest sannsynlig et resultat av en feil, som Facebook annonsene ble vist til brukere uavhengig av hvilken enhet som brukes.

Det kan også merke til at ondsinnet kampanje hadde klare faser: en fase ble avsluttet i den andre halvdel av september 2019, og kampanjen re-aktiveres i begynnelsen av oktober 2019.

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

MageCart på Heroku Cloud Platform

Forskere fant flere MageCart Web Skimmers På Heroku Cloud Platform

Researchers at Malwarebytes reported about finding several MageCart web skimmers on the Heroku cloud platform

Android spyware CallerSpy

CallerSpy spyware masker som en Android-chat program

Trend Micro experts discovered the malware CallerSpy, which masks as an Android chat application and, …

Legg igjen et svar