В Мексике и Бразилии, на полигоне которых вообще обрабатывается перед дебютом на Западе масса киберугроз, любопытным образом распространяется троян-банкер Mispadu.
Вредонос использует фейковую рекламу McDonald’s для распространения, основными целями трояна являются кража денежных средств и учетных данных. В Бразилии малварь также продвигается как вредоносное расширение для Google Chrome, пытается похищать данные банковских карт и онлайн-банкинга, а также ставит под угрозу пользователей платежной системы Boleto.
Вредонос написан на Delphi и атакует своих жертв, используя те же методы, что и ранее обнаруженные экспертами трояны Amavaldo и Casbaneiro. В основном это использование поддельных всплывающих окон и попытки убедить потенциальных жертв сообщить злоумышленникам конфиденциальную информацию.
Свою кампанию мошенники начинали с размещения коммерческих публикаций в Facebook, которые предлагали пользователям скидочные купоны в McDonald’s. Кликая по такому рекламному объявлению, потенциальная жертва загружала файл ZIP, замаскированный под скидочный купон и содержащий установщик MSI.
Любопытно, что операторы Mispadu использовали Яндекс.Почту для хранения своей полезной нагрузки. Судя по всему, преступники завели учетную запись на Яндекс.Почте, отправили письмо с вредоносным купоном в качестве вложения самим себе, а затем предоставляли жертвам прямую ссылку на это вложение.
На зараженном устройстве Mispadu способен делать скриншоты, имитировать действия мыши и клавиатуры, а также перехватывать нажатия клавиш. Вредонос собирает детальную информацию о своих жертвах: версию ОС, имя компьютера, данные о системном языке, список установленных в системе приложений латиноамериканских банков, список установленных защитных продуктов, информацию об установке Diebold Warsaw GAS Tecnologia (популярное в Бразилии приложение для защиты доступа к онлайн-банкингу).
Кампания привлекла почти 100 000 кликов только из Бразилии.
Читайте также на АКБ:
Как трояны нагло используют официальные сервисы: 3 свежих истории
