Een nieuwe kwaadaardige campagne was ontdekt, het dragen van de Mispadu backdoor en banking Trojan.
De achterdeur is het gebruik van een malvertising truc verspreiden, en verbergt achter een McDonalds advertentie naar betaalkaart informatie van gebruikers te stelen. Voor nu, gebruikers in Brazilië en Mexico zijn gericht, maar de Trojan kan snel nieuwe landen vast te stellen zijn doel lijst.
Trojan Mispadu: technisch overzicht
Volgens ESET onderzoekers, de Mispadu Trojan is geschreven in Delphi. Het Trojaanse paard is met behulp van valse pop-up vensters in een poging om potentiële slachtoffers in onthullende persoonlijke informatie te misleiden. De achterdeur functionaliteit omvat de mogelijkheid van het nemen van screenshots, simuleren muis en toetsenbord bewegingen, en het vastleggen van toetsaanslagen. Het Trojaanse paard kan zichzelf updaten met behulp van een VBS-bestand.
Het lijkt erop dat Mispadu is één van een reeks van Trojans targeting Latijns-Amerika. Het is vergelijkbaar met andere dergelijke Trojans in termen van de verzamelde informatie, inclusief OS-versie, computer naam, taal-ID, geïnstalleerde beveiligingsoplossingen.
De malware ook controleert of Diebold Warschau GAS Tecnologia (een applicatie, populair in Brazilië, Ter bescherming van de toegang tot online bankieren) is geïnstalleerd op het systeem, en scant ook voor de geïnstalleerde bankieren apps populair in Latijns-Amerika.
In termen van propagatie, de Trojan maakt gebruik van een reclame McDonalds truc om betaalkaart gegevens en online bankgegevens te stelen. Echter, Trojan kan ook worden gedistribueerd via malspam.
Bij malvertising, de gebruiker zou worden misleid om te klikken op een advertentie (hoogstwaarschijnlijk een gesponsorde advertentie op Facebook) die hen zou leiden naar een valse McDonalds website te zeggen dat “ik wil!/Genereer coupon". Als de potentiële slachtoffer op de advertentie klikt, zij zullen een ZIP-bestand dat een MSI-installatieprogramma bevat downloaden.
Het lijkt erop dat de exploitanten Mispadu gecompileerd twee verschillende versies van de malware op basis van het land gerichte. Aanvallen ook verschillen in termen van installateurs en podia, afhankelijk van het land. Niettemin, de malware volgt dezelfde logica alle aanvallen.
In Brazilië, de Trojaanse levert ook een kwaadaardige Google Chrome-extensies. De onderzoekers ontdekt dat het doel van de uitbreiding is niet alleen om de betaling card en bankgegevens te stelen, maar ook om geld te stelen van de slachtoffers door afbreuk te doen aan de Boleto's online betaalsysteem.
Blijkbaar, Latijns-Amerika is steeds een centraal punt voor banking malware. Dit jaar kwam beveiliging onderzoekers tussen verschillende banking Trojans gericht op deze grondgebied.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: