Mispadu
Mispadu is een trojan voor banken waarvan de activiteit geconcentreerd lijkt te zijn in de Braziliaanse en Mexicaanse regio's. In tegenstelling tot de meeste bank-Trojaanse paarden tegenwoordig, die zowel desktop- als mobiel-compatibel zijn, werkt de Mispadu Trojan alleen met desktopsystemen met het Windows-besturingssysteem. Het lijkt erop dat de makers van de Mispadu banking Trojan het verspreiden via malvertising-operaties. De doelen zullen worden misleid door te geloven dat ze een kortingsbon hebben gewonnen voor McDonald's-restaurants. Afgezien van malvertising hebben de aanvallers ervoor gekozen phishing-e-mailcampagnes te gebruiken die een geïnfecteerde bijlage bevatten.
Inhoudsopgave
Persistentie verkrijgen en gegevens verzamelen
Wanneer de Mispadu Trojan erin slaagt om een gerichte host te infiltreren, zal het proberen doorzettingsvermogen te verkrijgen door te knoeien met het Windows-register, en ervoor zorgen dat wanneer de slachtoffers hun computers opnieuw opstarten, ook de bank-Trojan wordt gestart. De Mispadu Trojan kan updates op zijn modules toepassen door een VBS-bestand (Visual Basic Script) te gebruiken dat ook wordt uitgevoerd wanneer de geïnfecteerde machine wordt gestart. Vervolgens zorgt de Mispadu banking Trojan ervoor dat hij verbinding maakt met de C&C (Command & Control) -server van de aanvaller en alle relevante informatie over bankgerelateerde software, taalinstellingen, anti-malware-applicaties, computernaam, Windows-versie, enz. Overbrengt. is gemeld dat de Mispadu Trojan de gecompromitteerde systemen scant voor een beveiligingshulpprogramma met betrekking tot een banksoftware genaamd Diebold Warsaw GAS Technologia. Deze beveiligingshulpprogramma is vrij populair in Brazilië, en het is waarschijnlijk dat de auteurs van de Mispadu Trojan ervoor zorgen dat het hun aanval niet zal hinderen.
Verzamelt inloggegevens en heeft een klembordkapermodule
De Mispadu banking Trojan kan inloggegevens verzamelen met betrekking tot populaire e-maildiensten - Outlook, Windows Live Mail, Thunderbird, enz. De banking Trojan kan ook e-mails en wachtwoorden verzamelen van de meest populaire webbrowsers - Mozilla Firefox, Google Chrome en Internet Explorer. Een andere vervelende truc die de Mispadu Trojan in de tas heeft, is klembordkaping. Deze dreiging kan detecteren of het slachtoffer een cryptocurrency-portemonnee-adres heeft gekopieerd en dit met zijn eigen portemonnee-adres verwisselen zonder dat de gebruiker het merkt. Dit betekent dat de slachtoffers hun cryptocurrency naar de aanvallers sturen in plaats van aan wie het oorspronkelijk was geadresseerd.
Zoekt naar trefwoorden
De Mispadu banking Trojan is mogelijk gebruikt in combinatie met een nep-Google Chrome-extensie, die waarschijnlijk knoeit met de webbrowser van de gebruiker. Dit betekent dat de dreiging in staat is om alle vensters die de gebruiker had geopend te sluiten en in plaats daarvan een gecompromitteerd venster te starten. Het kan ook velden scannen die aanwezig zijn op de pagina waar de gebruiker aan het bladeren is en zoeken naar bepaalde trefwoorden. Er is gemeld dat een van deze zoekwoorden 'CVV' is. Dit maakt duidelijk dat de aanvallers achter de creditcardinformatie van de slachtoffers staan. De Mispadu-malware kan ook in staat zijn om een vals inlogscherm te openen waar de gebruikers wordt gevraagd hun inloggegevens in te vullen - deze truc lijkt te worden gebruikt tegen Braziliaanse gebruikers die voornamelijk de Boleto-betalingsportal gebruiken.
Het Mispadu bank-trojan is een zeer krachtige bedreiging en gebruikers in Brazilië en Mexico moeten zeer op hun hoede zijn voor deze vervelende bedreiging. Dit betekent echter niet dat gebruikers wereldwijd ook veilig zijn, omdat de aanvallers de Mispadu Trojan altijd kunnen wijzigen en het bereik naar andere landen kunnen uitbreiden.
