Mispadu
Mispadu on pankki troijalainen, jonka toiminta näyttää keskittyneen Brasilian ja Meksikon alueille. Toisin kuin useimmat nykyajan pankki-troijalaiset, jotka ovat sekä työpöytä- että mobiiliyhteensopivia, Mispadu-troijalainen toimii vain Windows-käyttöjärjestelmää käyttävissä työpöytäjärjestelmissä. Vaikuttaa siltä, että Mispadun pankki-troijalaisen luojat levittävät sitä väärinkäyttämällä. Kohteet huijataan uskovan, että he ovat voittaneet kuponki McDonald'sin ravintoloille. Väärinkäyttämisen lisäksi hyökkääjät ovat päättäneet käyttää tietokalastelusähköpostikampanjoita, jotka sisältävät tartunnan saaneen liitteen.
Sisällysluettelo
Pysyvyyden hankkiminen ja tiedon kerääminen
Kun Mispadu-troijalainen onnistuu tunkeutumaan kohdennettuun isäntään, se yrittää saada pysyvyyden pelaamalla Windows-rekisteriä varmistamalla, että kun uhrit käynnistävät tietokoneensa uudelleen, myös pankki-troijalainen käynnistetään. Mispadu-troijalainen voi soveltaa päivityksiä moduuleihinsa käyttämällä VBS-tiedostoa (Visual Basic Script), joka myös suoritetaan, kun tartunnan saanut kone käynnistetään. Seuraavaksi Mispadun pankki-troijalainen varmistaa, että hän muodostaa yhteyden hyökkääjien C&C (Command & Control) -palvelimeen ja siirtää kaikki asiaankuuluvat tiedot pankkitoimintaan liittyvistä ohjelmistoista, kieliasetuksista, haittaohjelmien torjuntaohjelmista, tietokoneen nimestä, Windows-versiosta jne. on ilmoitettu, että Mispadu-troijalainen etsii vaarannetut järjestelmät tietoturvatyökalua varten, joka koskee Diebold Warsaw GAS Technologia -nimistä pankkiohjelmistoa. Tämä tietoturvatyökalu on melko suosittu Brasiliassa, ja on todennäköistä, että Mispadu-troijalaisen kirjoittajat varmistavat, että se ei häiritse heidän hyökkäyttään.
Kerää kirjautumistiedot ja sillä on leikepöydän kaappaajamoduuli
Mispadu-pankki-troijalainen pystyy keräämään kirjautumistietoja suosituista sähköpostipalveluista - Outlook, Windows Live Mail, Thunderbird jne. Pankkitoiminta-troijalainen voi myös kerätä sähköpostia ja salasanoja suosituimmista verkkoselaimista - Mozilla Firefox, Google Chrome ja Internet Explorer. Toinen ilkeä temppu, joka Mispadun troijalaisella on laukussa, on leikepöydän kaappaus. Tämä uhka voi havaita, onko uhri kopioinut salausvaluutta-lompakon osoitteen, ja vaihtaa sen omalla lompakko-osoitteellaan käyttäjän huomamatta. Tämä tarkoittaa, että uhrit lähettävät salauksen valuutan hyökkääjiin sen sijaan, jolle se oli osoitettu alun perin.
Etsii avainsanoja
Mispadun pankki-troijalaista on ehkä käytetty yhdessä väärennetyn Google Chrome -laajennuksen kanssa, joka todennäköisesti loukkaa käyttäjän verkkoselainta. Tämä tarkoittaa, että uhka saattaa pystyä sulkemaan kaikki käyttäjän avatut ikkunat ja avaamaan sen sijaan vaarantuneen ikkunan. Se voi myös skannata käyttäjän selaamalla sivulla olevat kentät ja etsiä tiettyjä avainsanoja. Raportoitiin, että näiden avainsanojen joukossa on 'CVV'. Tämä tekee selväksi, että hyökkääjät seuraavat uhrin luottokorttitietoja. Mispadun haittaohjelma saattaa myös pystyä käynnistämään väärennetyn kirjautumisnäytön, jossa käyttäjiä kehotetaan täyttämään kirjautumistietonsa - tätä temppu näyttää käytettävän brasilialaisia käyttäjiä vastaan, jotka käyttävät pääasiassa Boleto-maksuportaalia.
Mispadun pankki-troijalainen on erittäin voimakas uhka, ja Brasilian ja Meksikon käyttäjien tulisi olla hyvin varovaisia tämän ikävän uhan suhteen. Tämä ei kuitenkaan tarkoita, että käyttäjät ympäri maailmaa ovat turvassa, koska hyökkääjät voivat aina muokata Mispadu-troijalaista ja laajentaa sen ulottuvuutta muihin maihin.
