Mispadu
Το Mispadu είναι ένας τραπεζικός Δούρειος Τρόπος του οποίου η δραστηριότητα φαίνεται να επικεντρώνεται στις περιοχές της Βραζιλίας και του Μεξικού. Σε αντίθεση με τους περισσότερους τραπεζικούς Trojans σήμερα, οι οποίοι είναι συμβατοί με επιτραπέζιους υπολογιστές και κινητές συσκευές, ο Trojan Mispadu λειτουργεί μόνο με επιτραπέζια συστήματα που λειτουργούν με το λειτουργικό σύστημα των Windows. Φαίνεται ότι οι δημιουργοί του τραπεζιού τρωκτικού Mispadu το διαδίδουν μέσω πράξεων κακοποίησης. Οι στόχοι θα εξαπατηθούν για να πιστεύουν ότι έχουν κερδίσει ένα κουπόνι για τα εστιατόρια του McDonald's. Εκτός από το malvertising, οι επιτιθέμενοι επέλεξαν να χρησιμοποιούν καμπάνιες ηλεκτρονικού ταχυδρομείου ηλεκτρονικού "ψαρέματος" (phishing email) που περιέχουν προσβληθέντα συνημμένα.
Πίνακας περιεχομένων
Αποκτώντας την εμμονή και τη συλλογή δεδομένων
Όταν ο Trojan Mispadu κατορθώσει να διεισδύσει σε έναν στοχοθετημένο κεντρικό υπολογιστή, θα επιχειρήσει να επιμείνει στην παραβίαση του μητρώου των Windows, διασφαλίζοντας ότι όταν τα θύματα επανεκκινήσουν τους υπολογιστές τους, θα ξεκινήσει και ο τραπεζικός Trojan. Ο Trojan Mispadu είναι σε θέση να εφαρμόζει ενημερώσεις στις ενότητες του, χρησιμοποιώντας ένα αρχείο VBS (Visual Basic Script) το οποίο επίσης θα εκτελεστεί όταν ξεκινήσει το μολυσμένο μηχάνημα. Ακολούθως, ο τραπεζίτης της Mispadu θα φροντίσει να συνδεθεί με τον διακομιστή C & C (Command & Control) των εισβολέων και να μεταφέρει κάθε σχετική πληροφορία σχετικά με το λογισμικό που σχετίζεται με το τραπεζικό σύστημα, τις ρυθμίσεις γλώσσας, τις εφαρμογές κατά του κακόβουλου λογισμικού, αναφέρθηκε ότι ο Trojan Mispadu σαρώνει τα συμβιβασμένα συστήματα για ένα εργαλείο ασφάλειας σχετικά με ένα τραπεζικό λογισμικό που ονομάζεται Diebold Warsaw GAS Technologia. Αυτό το εργαλείο ασφαλείας είναι αρκετά δημοφιλές στη Βραζιλία και είναι πιθανό οι συντάκτες του Trojan Mispadu να βεβαιωθούν ότι δεν θα παρεμποδίσουν την επίθεσή τους.
Συλλέγει τα διαπιστευτήρια σύνδεσης και έχει μια μονάδα Hijacker Clipboard
Ο τραπεζικός Trojan μπορεί να συγκεντρώσει τα ηλεκτρονικά ταχυδρομεία και τους κωδικούς πρόσβασης από τα πιο δημοφιλή προγράμματα περιήγησης στο Web - Mozilla Firefox, Google Chrome και Internet Explorer. Ένα άλλο άσχημο τέχνασμα που ο Trojan Mispadu έχει στην τσάντα είναι η αεροπειρατεία του clipboard. Αυτή η απειλή μπορεί να ανιχνεύσει εάν το θύμα έχει αντιγράψει μια διεύθυνση κρυπτογράφησης λογαριασμού πορτοφολιού και να το ανταλλάξει με τη δική του διεύθυνση πορτοφολιού χωρίς να το παρατηρήσει ο χρήστης. Αυτό σημαίνει ότι τα θύματα θα στέλνουν κρυπτογράφηση στους επιτιθέμενους αντί για τους οποίους απευθύνθηκε αρχικά.
Αναζητά λέξεις-κλειδιά
Ο τραπεζίτης λανθασμένων τραπεζών της Mispadu μπορεί να χρησιμοποιήθηκε από κοινού με μια ψεύτικη επέκταση του Google Chrome, η οποία ενδέχεται να παραβιάζει το πρόγραμμα περιήγησης στο Web του χρήστη. Αυτό σημαίνει ότι η απειλή μπορεί να είναι ικανή να κλείσει όλα τα παράθυρα που είχε ανοίξει ο χρήστης και να ξεκινήσει ένα παραβιαζόμενο παράθυρο. Μπορεί επίσης να σαρώσει πεδία που υπάρχουν στη σελίδα που ο χρήστης περιηγεί και αναζητά ορισμένες λέξεις-κλειδιά. Αναφέρθηκε ότι μεταξύ αυτών των λέξεων-κλειδιών είναι η λέξη "CVV". Αυτό καθιστά σαφές ότι οι επιτιθέμενοι είναι μετά από πληροφορίες πιστωτικών καρτών των θυμάτων. Το κακόβουλο λογισμικό Mispadu μπορεί επίσης να ξεκινήσει μια πλαστή οθόνη σύνδεσης όπου οι χρήστες καλούνται να συμπληρώσουν τα διαπιστευτήριά τους σύνδεσης - αυτό το τέχνασμα φαίνεται να χρησιμοποιείται εναντίον Βραζιλιάνων χρηστών που χρησιμοποιούν κυρίως την πύλη πληρωμών Boleto.
Ο τραπεζικός τρωικός μηχανισμός Mispadu είναι μια πολύ ισχυρή απειλή και οι χρήστες στη Βραζιλία και το Μεξικό πρέπει να είναι πολύ προσεκτικοί για αυτή την απειλητική απειλή. Αυτό, ωστόσο, δεν σημαίνει ότι οι χρήστες σε όλο τον κόσμο είναι ασφαλείς, καθώς οι επιτιθέμενοι μπορούν πάντα να τροποποιήσουν τον Trojan Mispadu και να επεκτείνουν την προσέγγισή του σε άλλες χώρες.
