Mispadu – ten trojan obiecuje kupony do McDonald’s. W rzeczywistości kradnie pieniądze

Eksperci z ESET odkryli grupę złośliwego oprogramowania Mispadu, która pod pretekstem oferowania m.in. „darmowych” kuponów do McDonald’s nakłania ofiary do instalacji groźnego trojana bankowego. Ten po zainfekowaniu komputera śledzi aktywność użytkownika (m.in. robi zrzuty ekranu, przechwytuje wciskane klawisze) oraz wykrada dane płatnicze – w tym dane logowania do bankowości internetowej oraz kart płatniczych.

Zrzuty ekranu ze stron, z których można było pobrać rzekome kupony. Zrzut z lewej był wyświetlany użytkownikom z Brazylii, z prawej – Meksyku

Mispadu to rodzina trojanów bankowych wykrywanych przez ekspertów z ESET na terenie Ameryki Łacińskiej. Ich głównym celem jest kradzież danych logowania do rachunków bankowych oraz manipulacja transakcji wykonywanych przez brazylijski system płatniczy Boleto. Złośliwe oprogramowanie korzysta z kilku metod dystrybucji. Pierwszą z nich są fałszywe wiadomości e-mail kierowane do Meksykanów i Brazylijczyków. Informują użytkowników albo o nieobecności podczas próby dostarczenia paczki albo opłaceniu zaległej faktury. Cel jest ten sam – nakłonienie użytkownika do kliknięcia w link i pobrania zainfekowanego załącznika.

Przykłady kampanii phishingowych zawierających trojany z rodziny Mispadu. Pierwszy zrzut ekranu z lewej pokazuje atak na Brazylijczyków. Informuje ich o braku odbioru paczki i możliwości otrzymania odszkodowania z tego tytułu. Drugi zrzut dotyczy wiadomości wysyłanej do Meksykanów i zachęca do pobrania faktury, by anulować dług.

Druga metoda ataku, na którą mieszkańcy Ameryki Łacińskiej są narażeni to tzw. malvertising – czyli złośliwe reklamy wyświetlane w popularnych witrynach. Cyberprzestępcy w tym celu wykupili reklamy na Facebooku, które zachęcają użytkowników portalu do odbioru darmowych kuponów na zestawy McDonald’s. Po kliknięciu w reklamę, następuje przekierowanie do podstawionej strony, na której zamiast kuponów, serwowany jest złośliwy plik, który po uruchomieniu powoduje infekcję.

Zrzuty z ekranu z kampanii reklamowej na Facebooku, która informowała o kuponach zniżkowych na McZestawy.

Zrzuty ekranu ze stron, z których można było pobrać rzekome kupony. Zrzut z lewej był wyświetlany użytkownikom z Brazylii, z prawej – Meksyku.

Złośliwy plik to instalator w formacie MSI, który jest zaszyty w archiwum ZIP. Po uruchomieniu pliku instalacyjnego następuje wieloetapowe działanie złośliwych skryptów. Pierwsza faza działań opiera się na sprawdzeniu, skąd pochodzi użytkownik – jeśli z Meksyku lub Brazylii, to następuje pobranie kolejnych komponentów trojana, by doprowadzić do finalnej infekcji. Analitycy zauważyli, że w trakcie procesu infekowania komputera trojan może zainstalować złośliwe rozszerzenie do przeglądarki Google Chrome, które potrafi manipulować oknami przeglądarki, wykradać wprowadzane dane – loginy, hasła, dane kart płatniczych oraz dodawać złośliwe skrypty do odwiedzanych stron.

Kampania phishingowa wykorzystująca trojany z rodziny Mispadu była aktywna w okresie od września do października 2019 roku. Wszystkie jej komponenty były blokowane w trakcie jej trwania przez programy antywirusowe ESET.

Więcej informacji na temat zagrożenia znajduje się na stronie: https://www.welivesecurity.com/2019/11/19/mispadu-advertisement-discounted-unhappy-meal/

źródło: ESET

Reklamy


Categories: Rynek, Bez kategorii, Bezpieczeństwo, Internet, Newsy

Tags: , , , , ,

Dodaj komentarz

%d bloggers like this: