Mispadu
Mispadu er en bank-trojaner hvis aktivitet ser ut til å være konsentrert i de brasilianske og meksikanske regionene. I motsetning til de fleste banktrojanere i dag, som både er stasjonær og mobilkompatibel, fungerer Mispadu Trojan bare med stasjonære systemer som kjører Windows-operativsystemet. Det ser ut til at skaperne av Mispadu-banken Trojan forplanter den via malvertiserende operasjoner. Målene vil bli lurt til å tro at de har vunnet en kupong for McDonald's-restauranter. Bortsett fra malvertisering, har angriperne valgt å bruke phishing-e-postkampanjer som inneholder et infisert vedlegg.
Innholdsfortegnelse
Få tak i utholdenhet og samle inn data
Når Mispadu Trojan klarer å infiltrere en målrettet vert, vil den forsøke å få utholdenhet ved å tukle med Windows-registeret, og sikre at når ofrene starter på nytt datamaskinene, vil også bank-Trojan bli lansert. Mispadu Trojan kan bruke oppdateringer på modulene sine ved å bruke en VBS-fil (Visual Basic Script) som også vil bli kjørt når den infiserte maskinen startes. Deretter sørger Mispadu banking Trojan for å koble seg til angripernes C & C (Command & Control) server og overføre all relevant informasjon om bankrelatert programvare, språkinnstillinger, anti-malware applikasjoner, datamaskinnavn, Windows-versjon, etc. Den har blitt rapportert om at Mispadu Trojan skanner de kompromitterte systemene for et sikkerhetsverktøy angående en bankprogramvare kalt Diebold Warszawa GAS Technologia. Dette sikkerhetsverktøyet er ganske populært i Brasil, og det er sannsynlig at forfatterne av Mispadu Trojan sørger for at det ikke vil forstyrre angrepet deres.
Samler innloggingsinformasjon og har en utklippsnodemodul
Mispadu banking Trojan er i stand til å samle innloggingsinformasjon om populære e-posttjenester - Outlook, Windows Live Mail, Thunderbird, etc. Bank Trojan kan også samle e-post og passord fra de mest populære nettleserne - Mozilla Firefox, Google Chrome og Internet Explorer. Et annet stygt triks som Mispadu Trojan har i sekken er kapring av utklippstavlen. Denne trusselen kan oppdage om offeret har kopiert en cryptocurrency lommebokadresse og byttet den med sin egen lommebokadresse uten at brukeren legger merke til det. Dette betyr at ofrene vil sende cryptocurrency til angriperne i stedet for hvem det opprinnelig ble adressert til.
Ser etter nøkkelord
Mispadu-bank-trojaneren kan ha blitt brukt unisont med en falsk Google Chrome-utvidelse, som sannsynligvis tukler brukerens nettleser. Dette betyr at trusselen kan være i stand til å lukke alle vinduer brukeren hadde åpnet og i stedet starte et kompromittert vindu. Den kan også skanne felt som er til stede på siden som brukeren surfer på og søke etter bestemte nøkkelord. Det ble rapportert at blant disse nøkkelordene er "CVV." Dette gjør det klart at angriperne følger etter ofrenes kredittkortinformasjon. Mispadu-malware kan også være i stand til å starte en falsk innloggingsskjerm der brukerne oppfordres til å fylle ut påloggingsinformasjon - dette trikset ser ut til å bli brukt mot brasilianske brukere som hovedsakelig bruker betalingsportalen i Boleto.
Mispadu-bank-trojaneren er en veldig potent trussel, og brukere i Brasil og Mexico bør være veldig på vakt for denne ekle trusselen. Dette betyr imidlertid ikke at brukere over hele verden er trygge heller, da angriperne alltid kan endre Mispadu Trojan og utvide rekkevidden til andre land.
