Eine neue Hetzkampagne war entdeckt, die Mispadu Backdoor-Tragen und Banking-Trojaner.
Die Backdoor verwendet ein Malvertising Trick verbreiten, und hinter einer McDonalds Anzeige verstecken Zahlungskarteninformationen von Nutzern zu stehlen. Zur Zeit, Nutzer in Brasilien und Mexiko sind gezielte, aber der Trojaner kann schnell neue Länder in der Zielliste übernehmen.
Trojan Mispadu: technischer Überblick
Laut ESET Forscher, die Mispadu Trojan ist in Delphi geschrieben. Der Trojaner wird mit gefälschten Pop-up-Fenster in einem Versuch, potentielle Opfer zur Preisgabe persönlicher Informationen zu verleiten. Die Backdoor-Funktionalität beinhaltet die Fähigkeit, die Aufnahme von Schnappschüssen, Simulation von Maus und Tastatur Bewegungen, und Erfassung Tastatureingaben. Der Trojaner kann aktualisieren sich eine VBS-Datei.
Es scheint, dass Mispadu eine aus einer Reihe von Trojanern ist Targeting Lateinamerika. Es ist ähnlich wie andere derartige Trojaner in Bezug auf die gesammelten Informationen, einschließlich OS-Version, Computername, Sprach-ID, installierte Sicherheitslösungen.
Die Malware auch überprüft, ob Diebold Warschau GAS Tecnologia (eine Bewerbung, beliebt in Brasilien, zu schützen, den Zugang zu Online-Banking) wird auf dem System installiert, und es scannt auch für installierte Banking-Apps populär in Lateinamerika.
In Bezug auf die Ausbreitungs, der Trojaner wird mit einem McDonalds Werbung Trick Zahlungskartendaten und Online-Bankdaten zu stehlen. Jedoch, der Trojaner kann auch über malspam verteilt werden.
Im Fall von Malvertising, würde der Benutzer ausgetrickst werden auf eine Anzeige klicken (höchstwahrscheinlich eine gesponserte Werbung auf Facebook) dass sie auf eine gefälschte McDonalds Website würde umleiten sagen, dass „Ich will!/generieren Gutschein". Wenn die potentiellen Opfer auf die Anzeige klickt, sie wird eine ZIP-Datei herunterladen, die einen MSI-Installer enthält.
Es scheint, dass Mispadu des Betreiber zwei verschiedene Versionen der Malware erstellt basierend auf dem Land ausgerichtet. Angriffe unterscheiden sich auch in Bezug auf die Installateure und Bühnen, nach dem Land. Dennoch, die Malware folgt die gleiche Logik in allen Angriffen.
In Brasilien, der Trojaner liefert auch eine bösartige Google Chrome-Erweiterung. Die Forscher entdeckt dass der Zweck der Erweiterung ist nicht nur die Kreditkarte und Bankdaten zu stehlen, sondern auch Geld von den Opfern zu stehlen, indem die Boleto der Online-Zahlungssystem zu gefährden.
Offenbar, Lateinamerika ist eine Anlaufstelle für Banken Malware immer. In diesem Jahr Sicherheit Forscher stießen auf mehrere Bank-Trojaner dieses Gebiet Targeting.