Mispadu
Mispadu é um Trojan bancário cuja atividade parece estar concentrada em regiões brasileiras e mexicanas. Ao contrário da maioria dos Trojans bancários hoje em dia, que são compatíveis com computadores e dispositivos móveis, o Trojan Mispadu funciona apenas com sistemas de desktop executando o sistema operacional Windows. Parece que os criadores do Trojan bancário Mispadu estão propagando-o por meio de operações de malvertising. Os alvos serão levados a acreditar que ganharam um cupom para os restaurantes do McDonald's. Além da publicidade maliciosa, os atacantes optaram por usar campanhas de email de phishing que contêm um anexo infectado.
Índice
Obtendo Persistência e Coletando Dados
Quando o Trojan Mispadu consegue se infiltrar em um host de destino, ele tenta obter persistência ao adulterar o Registro do Windows, garantindo que, quando as vítimas reiniciarem seus computadores, o Trojan bancário também será lançado. O Trojan Mispadu pode aplicar atualizações aos seus módulos utilizando um arquivo VBS (Visual Basic Script) que também será executado quando a máquina infectada for iniciada. Em seguida, o Trojan bancário Mispadu garantirá a conexão com o servidor de C&C (Comando e Controle) dos invasores e transferirá qualquer informação relevante sobre software relacionado a bancos, configurações de idioma, aplicativos anti-malware, nome do computador, versão do Windows etc. Foi relatado que o Trojan Mispadu examina os sistemas comprometidos em busca de uma ferramenta de segurança relacionada a um software bancário chamado Diebold Warsaw GAS Technologia. Essa ferramenta de segurança é bastante popular no Brasil e é provável que os autores do Trojan Mispadu estejam garantindo que isso não interfira no ataque.
Coleta Credenciais de Logon e Possui um Módulo Seqüestrador da Área de Transferência
O Trojan bancário Mispadu é capaz de coletar credenciais de login relacionadas a serviços de email populares - Outlook, Windows Live Mail, Thunderbird etc. O Trojan bancário também pode coletar emails e senhas dos navegadores mais populares da web - Mozilla Firefox, Google Chrome e Internet Explorer. Outro truque desagradável que o Trojan Mispadu tem na bolsa é o seqüestro da área de transferência. Essa ameaça pode detectar se a vítima copiou um endereço de carteira de criptomoeda e o troca por seu próprio endereço de carteira sem que o usuário perceba. Isso significa que as vítimas enviarão sua criptomoeda para os atacantes, em vez de para quem foram endereçadas originalmente.
Procura por Palavras-Chave
O Trojan bancário Mispadu pode ter sido usado em uníssono com uma extensão falsa do Google Chrome, que provavelmente está adulterando o navegador da Web do usuário. Isso significa que a ameaça pode ser capaz de fechar todas as janelas que o usuário abriu e iniciar uma janela comprometida. Ele também pode verificar os campos presentes na página em que o usuário está navegando e pesquisar determinadas palavras-chave. Foi relatado que entre essas palavras-chave está 'CVV'. Isso deixa claro que os atacantes estão atrás das informações do cartão de crédito das vítimas. O malware Mispadu também pode iniciar uma tela de login falsa, na qual os usuários são solicitados a preencher suas credenciais - esse truque parece ser usado contra usuários brasileiros que usam principalmente o portal de pagamento por Boleto.
O Trojan bancário de Mispadu é uma ameaça muito potente, e os usuários no Brasil e no México devem ter muito cuidado com essa ameaça desagradável. Isso, no entanto, também não significa que os usuários em todo o mundo estejam seguros, pois os invasores sempre podem modificar o Trojan Mispadu e expandir seu alcance para outros países.
