+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

ESET виявила банківський троянець, що розсилається через пропозиції знижкових купонів у McDonald's

ESET виявила банківський троянець, що розсилається через пропозиції знижкових купонів у McDonald's

Новий і дуже небезпечний банківський троянець Mispadu поширюється в Латинській Америці разом із фальшивими цифровими купонами McDonald's. Після зараження троянець намагається викрасти платіжну інформацію.

Експерти ESET, які виявили шкідливість, вказують на його схожість із двома іншими латиноамериканськими банківськими троянцями: Amavaldo та Ccasbaneiro. Як і вони, Mispadu написаний на Delphi і використовує самописний криптоалгоритм для обфускування (заплутування) вихідного коду.

Mispadu написаний спеціально для атак на користувачів у Бразилії та Мексиці. Існує кілька його варіантів, різні інсталятори, і після стадії встановлення шкідливість також поводиться по-різному, залежно від того, де знаходиться жертва. Це не дивно, враховуючи, що у Бразилії офіційним державною мовою є португальська, а в Мексиці — іспанська.

В якості приманки для користувачів застосовуються фальшиві купони з купівлі McDonald's, що розповсюджуються через електронну пошту або шкідливу рекламу на Facebook, з якої користувачів переадресовують на сайт зловмисників.

У поштовому повідомленні або на сайті користувачам пропонується натиснути на екранну кнопку для генерації купона. Насправді ж користувачеві завантажується заархівований MSI-установник, яким зловмисники користуються для запуску незапакованого скрипта. Далі починається багатоступінчастий процес завантаження модулів шкідливості, його установника, конфігураційних файлів та ін'єктора DLL, призначеного вже для запуску самого шкідливості.

Скрипт завантажувача (що активується на третій стадії) виглядає складніше за інших: він перевіряє мову системи, щоб встановити, чи атакована машина в Бразилії чи Мексиці. Він також може виявляти деякі віртуальні середовища, і якщо виявляється, що його запустили на віртуальній машині, негайно деактивується.

Експерти ESET також виявили, що Mispadu намагаються поширювати через розширення Google Chrome, нібито покликані захищати комп'ютер від шкідливих програм. Насправді знову відбувається зараження, але дещо іншим чином.

Основна мета Mispadu — красти системну інформацію про пристрій, у тому числі список встановлених банківських програм та засобів безпеки. Крім того, шкідливість збирає відомості про веб-браузери та поштових клієнтів Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Outlook, Mozilla Thunderbird та Windows Live Mail. Троянець також перехоплює дані з буфера обміну та підміняє будь-яку адресу гаманця біткоїнів на належний зловмисникам. Втім, за даними експертів ESET, поки що жодного успішного крадіжки криптовалют за троянцем не помічено.

Компоненти Mispadu для шкідливого розширення Chrome можуть також перехоплювати дані кредитних карток з попереднього списку сайтів і підміняти ідентифікаційні номери на платіжних чеках, згенерованих за допомогою платіжної системи Boleto, так, щоб гроші йшли зловмисникам.

Бекдор Mispadu здатний робити скріншоти, імітувати курсор миші і перехоплювати або імітувати натискання клавіш на клавіатурі.

Інші новини

Найкраща ціна