Mispadu
A Mispadu banki trójai, amelynek tevékenysége úgy tűnik, hogy a brazil és a mexikói régióban koncentrálódik. A manapság a legtöbb banki trójainak ellentétben, amelyek mind asztali, mind mobil kompatibilisek, a Mispadu trójai csak a Windows operációs rendszert futtató asztali rendszerekkel működik. Úgy tűnik, hogy a Mispadu banki trójai alkotói rosszindulatú műveletekkel terjesztik azt. A célokat becsapják abban a hitben, hogy kupont nyertek a McDonald's éttermei számára. A támadók a rosszindulaton túlmenően olyan adathalász e-mail kampányokat választottak, amelyek fertőzött mellékletet tartalmaznak.
Tartalomjegyzék
Perzisztencia megszerzése és adatgyűjtés
Amikor a Mispadu trójai behatol a célzott gazdagépbe, megpróbálja kitartani a Windows nyilvántartás megsértésével, biztosítva, hogy amikor az áldozatok újraindítják számítógépüket, elindul a banki trójai is. A Mispadu trójai képes frissítéseket alkalmazni moduljaira egy VBS (Visual Basic Script) fájl felhasználásával, amely szintén végrehajtásra kerül a fertőzött számítógép indításakor. Ezután a Mispadu banki trójai győződjön meg arról, hogy csatlakozik a támadók C&C (Command & Control) szerveréhez, és átad minden releváns információt a bankokkal kapcsolatos szoftverekkel, a nyelvi beállításokkal, a rosszindulatú programok elleni alkalmazásokkal, a számítógépnévvel, a Windows verzióval stb. Kapcsolatban. arról számoltak be, hogy a Mispadu trójai a veszélyeztetett rendszereket a Diebold Warsaw GAS Technologia nevű bankszoftverhez kapcsolódó biztonsági eszközre keresi. Ez a biztonsági eszköz Brazíliában meglehetősen népszerű, és valószínű, hogy a Mispadu trójai szerzői megbizonyosodnak arról, hogy ez nem zavarja meg támadásaikat.
Begyűjti a bejelentkezési adatokat, és rendelkezik egy vágólap-eltérítő modullal
A Mispadu banki trójai képes bejelentkezési adatok gyűjtésére a népszerű e-mail szolgáltatásokkal kapcsolatban - Outlook, Windows Live Mail, Thunderbird stb. Egy másik csúnya trükk, amelyet a Mispadu trójai tartalmaz a táskában, a vágólap eltérítése. Ez a fenyegetés észlelheti, ha az áldozat lemásolta-e a kriptovállalati pénztárca címét, és kicserélheti azt saját pénztárca címével anélkül, hogy a felhasználó észrevenné. Ez azt jelenti, hogy az áldozatok kripto pénznemet küldnek a támadóknak, ahelyett, hogy eredetileg címzettek voltak.
Keres kulcsszavakat
A Mispadu banki trójai valószínűleg egy hamis Google Chrome-bővítménnyel használták, amely valószínűleg megsérti a felhasználó webböngészőjét. Ez azt jelenti, hogy a fenyegetés képes lehet bezárni az összes ablakot, amelyet a felhasználó nyitott, és ehelyett elindíthat egy kompromittált ablakot. Emellett be tudja szkennelni az oldalon megjelenő mezőket, amelyeket a felhasználó böngész, és kereshet bizonyos kulcsszavakat. Úgy tűnik, hogy ezen kulcsszavak között szerepel a „CVV”. Ez világossá teszi, hogy a támadók az áldozatok hitelkártya-adatait követik. A Mispadu rosszindulatú program egy hamis bejelentkezési képernyőt is elindíthat, ahol a felhasználókat arra kérik, hogy töltsék ki bejelentkezési adataikat - ezt a trükköt úgy tűnik, hogy a brazil felhasználók ellen használják, akik elsősorban a Boleto fizetési portált használják.
A Mispadu banki trójai nagyon erős fenyegetés, és a brazil és mexikói felhasználóknak nagyon óvatosnak kell lenniük e csúnya fenyegetés ellen. Ez azonban nem jelenti azt, hogy a felhasználók biztonságban legyenek világszerte, mivel a támadók mindig módosíthatják a Mispadu trójai és kiterjeszthetik más országokba is.
