ESET обнаружила банковский троянец рассылаемый через предложения скидочных купонов в McDonald’s
ESET обнаружила банковский троянец рассылаемый через предложения скидочных купонов в McDonald’s
Новый и весьма опасный банковский троянец Mispadu распространяется в Латинской Америке вместе с фальшивыми цифровыми купонами McDonald's. После заражения троянец пытается выкрасть платежную информацию.
Эксперты ESET, обнаружившие вредонос, указывают на его сходство с двумя другими латиноамериканскими банковскими троянцами: Amavaldo и Ccasbaneiro. Как и они, Mispadu написан на Delphi и использует самописный криптоалгоритм для обфускации (запутывания) исходного кода.
Mispadu написан специально для атак на пользователей в Бразилии и Мексике. Существует несколько его вариантов, разные инсталляторы, и после стадии установки вредонос также ведет себя по-разному, в зависимости от того, где находится жертва. Это не удивительно, учитывая, что в Бразилии официальным государственным языком является португальский, а в Мексике — испанский.
В качестве приманки для пользователей применяются фальшивые скидочные купоны McDonald's, распространяемые через электронную почту или вредоносную рекламу на Facebook, с которой пользователей переадресовывают на сайт злоумышленников.
В почтовом сообщении или на сайте пользователям предлагается нажать на экранную кнопку для генерации купона. В реальности же пользователю скачивается заархивированный MSI-установщик, которым злоумышленники пользуются для запуска незапакованного скрипта. Далее начинается многоступенчатый процесс загрузки модулей вредоноса, его установщика, конфигурационных файлов и инъектора DLL, предназначенного уже для запуска самого вредоноса.
Скрипт загрузчика (активирующийся на третьей стадии) выглядит сложнее других: он проверяет язык системы, чтобы установить, находится ли атакованная машина в Бразилии или Мексике. Он также способен обнаруживать некоторые виртуальные среды, и если оказывается, что его запустили на виртуальной машине, немедленно деактивируется.
Эксперты ESET также обнаружили, что Mispadu пытаются распространять через расширения Google Chrome, якобы призванные защищать компьютер от вредоносных программ. На деле же снова происходит заражение, но несколько другим образом.
Основная цель Mispadu — красть системную информацию об устройстве, в том числе, список установленных банковских приложений и средств безопасности. Кроме того, вредонос собирает сведения о веб-браузерах и почтовых клиентах Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Outlook, Mozilla Thunderbird и Windows Live Mail. Троянец также перехватывает данные из буфера обмена и подменяет любой адрес кошелька биткоинов на принадлежащий злоумышленникам. Впрочем, по данным экспертов ESET, пока ни одной успешной кражи криптовалют за троянцем не замечено.
Компоненты Mispadu для вредоносного расширения Chrome могут также перехватывать данные кредитных карт с предзаданного списка сайтов и подменять идентификационные номера на платежных чеках, сгенерированных с помощью платежной системы Boleto, так, чтобы деньги уходили злоумышленникам.
В качестве бэкдора Mispadu способен делать скриншоты, имитировать курсор мыши и перехватывать или имитировать нажатия клавиш на клавиатуре.