Mispadu
Mispadu è un Trojan bancario la cui attività sembra concentrata nelle regioni brasiliane e messicane. A differenza della maggior parte dei Trojan bancari al giorno d'oggi, che sono sia desktop che mobili compatibili, il Mispadu Trojan funziona solo con sistemi desktop che eseguono il sistema operativo Windows. Sembrerebbe che i creatori del Trojan bancario Mispadu lo stiano propagando attraverso operazioni di malvertising. Gli obiettivi saranno indotti a credere di aver vinto un coupon per i ristoranti di McDonald. Oltre al malvertising, gli aggressori hanno scelto di utilizzare campagne di posta elettronica di phishing che contengono un allegato infetto.
Sommario
Ottenere persistenza e raccogliere dati
Quando il Trojan Mispadu riesce a infiltrarsi in un host mirato, tenterà di ottenere persistenza manomettendo il registro di Windows, assicurando che quando le vittime riavvieranno i loro computer, verrà lanciato anche il Trojan bancario. Il Mispadu Trojan è in grado di applicare gli aggiornamenti ai suoi moduli utilizzando un file VBS (Visual Basic Script) che verrà eseguito anche all'avvio della macchina infetta. Successivamente, il Trojan bancario Mispadu si assicurerà di connettersi al server C&C (Command & Control) degli aggressori e di trasferire qualsiasi informazione rilevante su software relativo alle banche, impostazioni della lingua, applicazioni anti-malware, nome del computer, versione di Windows, ecc. è stato riferito che il Trojan Mispadu esegue la scansione dei sistemi compromessi per uno strumento di sicurezza riguardante un software bancario chiamato Diebold Warsaw GAS Technologia. Questo strumento di sicurezza è piuttosto popolare in Brasile ed è probabile che gli autori del Trojan Mispadu si stiano assicurando che non interferiscano con il loro attacco.
Raccoglie le credenziali di accesso e ha un modulo di dirottatore degli Appunti
Il Trojan bancario Mispadu è in grado di raccogliere credenziali di accesso relative ai servizi di posta elettronica più diffusi - Outlook, Windows Live Mail, Thunderbird, ecc. Il Trojan bancario può anche raccogliere e-mail e password dai browser Web più diffusi: Mozilla Firefox, Google Chrome e Internet Explorer. Un altro brutto trucco che il Mispadu Trojan ha nella borsa è il dirottamento degli appunti. Questa minaccia può rilevare se la vittima ha copiato un indirizzo di portafoglio di criptovaluta e scambiarlo con il proprio indirizzo di portafoglio senza che l'utente se ne accorga. Ciò significa che le vittime invieranno la loro criptovaluta agli aggressori anziché a chi era indirizzata in origine.
Cerca parole chiave
Il Trojan bancario Mispadu potrebbe essere stato utilizzato all'unisono con una falsa estensione di Google Chrome, che probabilmente manometterà il browser Web dell'utente. Ciò significa che la minaccia potrebbe essere in grado di chiudere tutte le finestre aperte dall'utente e di avviare invece una finestra compromessa. Può anche scansionare i campi presenti nella pagina che l'utente sta navigando e cercare determinate parole chiave. È stato riferito che tra queste parole chiave è "CVV". Questo chiarisce che gli aggressori stanno cercando i dati della carta di credito delle vittime. Il malware Mispadu potrebbe anche essere in grado di avviare una schermata di accesso falsa in cui gli utenti sono invitati a compilare le proprie credenziali di accesso: questo trucco sembra essere utilizzato contro gli utenti brasiliani che utilizzano principalmente il portale di pagamento Boleto.
Il Trojan bancario Mispadu è una minaccia molto potente e gli utenti in Brasile e Messico dovrebbero essere molto attenti a questa brutta minaccia. Ciò, tuttavia, non significa che neanche gli utenti di tutto il mondo siano al sicuro, poiché gli aggressori possono sempre modificare il Trojan Mispadu ed espandere la sua portata ad altri paesi.
