Uma nova campanha maliciosa tinha sido descoberto, levando o backdoor Mispadu e Trojan bancário.
O secreto está a utilizar um truque Malvertising espalhar, e está se escondendo atrás de um anúncio de McDonalds para roubar informações de cartão de pagamento dos usuários. Para agora, usuários no Brasil e México são direcionados, mas o Trojan pode rapidamente adotar novos países na sua lista de alvos.
Trojan Mispadu: Visão geral técnica
De acordo com pesquisadores da ESET, o Mispadu Trojan está escrito em Delphi. O cavalo de Tróia está usando janelas pop-up falsos em uma tentativa de enganar vítimas potenciais em informações pessoais que revelem. A funcionalidade backdoor inclui a capacidade de tomar as imagens, simulando movimentos de mouse e teclado, e captura de teclas digitadas. O Trojan pode se atualizar usando um arquivo VBS.
Parece que Mispadu é um de uma série de Trojans alvo a América Latina. É semelhante a outras Trojans em termos da informação que recolhe, versão, incluindo OS, nome do computador, linguagem ID, soluções de segurança instaladas.
As verificações também de malware se Diebold Warsaw GAS Tecnologia (uma aplicação, popular no Brasil, para o acesso de proteção para operações bancárias online) está instalado no sistema, e também verifica para a banca instalada aplicativos populares na América Latina.
Em termos de propagação, o cavalo de Tróia está usando um truque de publicidade McDonalds para roubar dados de cartões de pagamento e detalhes bancários online. Contudo, o cavalo de Tróia também podem ser distribuídos via malspam.
No caso de publicidade maliciosa, o usuário poderia ser enganado para clicar em um anúncio (mais provável uma patrocinado anúncio no Facebook) que redirecioná-los para um site falso McDonalds dizendo que “eu quero!/gerar coupon”. Se os cliques potenciais vítimas sobre o anúncio, eles vão baixar um arquivo ZIP que contém um instalador MSI.
Parece que os operadores de Mispadu compilado duas versões diferentes do malware baseado no país de destino. Os ataques também variar em termos de instaladores e fases, de acordo com o país. Não obstante, o malware segue a mesma lógica em todos os ataques.
No Brasil, o Trojan também oferece uma extensão do Google Chrome malicioso. Os pesquisadores descoberto que o objectivo da prorrogação não é apenas para roubar cartões de pagamento e bancários de dados, mas também para roubar dinheiro das vítimas por comprometer o sistema de pagamento on-line do Boleto.
Pelo visto, América Latina está se tornando um ponto focal para o malware bancário. Este ano, pesquisadores de segurança deparei com vários Trojans bancários dirigidos a este território.