Mispadu
Mispadu je bankovní trojan, jehož aktivita se zdá být soustředěna v brazilském a mexickém regionu. Na rozdíl od většiny dnešních bankovních trojských koní, které jsou kompatibilní jak s počítačem, tak s mobilem, Mispadu Trojan pracuje pouze se stolními systémy s operačním systémem Windows. Zdálo by se, že tvůrci bankovního trojského koně Mispadu ho šíří prostřednictvím chybných reklam. Cíle budou podvedeny k přesvědčení, že vyhráli kupón pro restaurace McDonald's. Útočníci se kromě zneužití reklamy rozhodli použít phishingové e-mailové kampaně obsahující infikovanou přílohu.
Obsah
Získávání perzistence a sběr dat
Když se trojici Mispadu podaří infiltrovat cílového hostitele, pokusí se získat vytrvalost manipulací s registrem Windows, což zajistí, že když oběti restartují své počítače, bude spuštěn i bankovní trojan. Mispadu Trojan je schopen aplikovat aktualizace na své moduly pomocí souboru VBS (Visual Basic Script), který bude také spuštěn při spuštění infikovaného počítače. Poté se bankovní trojan Mispadu ujistí, že se připojí k serveru C&C (Command & Control) útočníků a převede veškeré relevantní informace o softwaru souvisejícím s bankovnictvím, nastavení jazyka, aplikacích proti malwaru, názvu počítače, verzi systému Windows atd. bylo oznámeno, že Mispadu Trojan prohledává kompromitované systémy pro bezpečnostní nástroj týkající se bankovního softwaru s názvem Diebold Warsaw GAS Technologia. Tento bezpečnostní nástroj je v Brazílii poměrně populární a je pravděpodobné, že se autoři Trojdanu Mispadu ujistili, že to nebude bránit jejich útoku.
Shromažďuje přihlašovací údaje a má modul únosce schránky
Bankovní trojan Mispadu je schopen shromažďovat přihlašovací údaje týkající se oblíbených e-mailových služeb - Outlook, Windows Live Mail, Thunderbird atd. Bankovní trojan také může shromažďovat e-maily a hesla z nejpopulárnějších webových prohlížečů - Mozilla Firefox, Google Chrome a Internet Explorer. Dalším ošklivým trikem, který má Trojan Mispadu v tašce, je únos schránky. Tato hrozba může zjistit, zda oběť zkopírovala adresu peněženky kryptoměny a zaměnila ji za svou vlastní adresu peněženky, aniž by si toho uživatel všiml. To znamená, že oběti zašlou svou kryptoměnu útočníkům místo toho, komu byly původně určeny.
Hledá klíčová slova
Bankovní trojský účet Mispadu mohl být používán v souzvuku s falešným rozšířením Google Chrome, které pravděpodobně narušuje webový prohlížeč uživatele. To znamená, že hrozba může být schopna zavřít všechna okna, která uživatel otevřel, a místo toho spustit ohrožené okno. Může také skenovat pole přítomná na stránce, kterou uživatel prochází a vyhledává určitá klíčová slova. Bylo hlášeno, že mezi těmito klíčovými slovy je „CVV“. Z toho je zřejmé, že útočníci sledují informace o kreditní kartě oběti. Malpadu Mispadu může být také možné spustit falešnou přihlašovací obrazovku, na které jsou uživatelé vyzváni, aby vyplnili přihlašovací údaje - tento trik se zdá být používán proti brazilským uživatelům, kteří hlavně používají platební portál Boleto.
Misanský bankovní trojan je velmi silnou hrozbou a uživatelé v Brazílii a Mexiku by měli být před touto hroznou hrozbou velmi opatrní. To však neznamená, že i uživatelé po celém světě jsou v bezpečí, protože útočníci vždy mohou trojský Mispadu upravit a rozšířit jeho dosah do dalších zemí.
