Mispadu
Mispadu är en bank-trojan vars verksamhet verkar vara koncentrerad i de brasilianska och mexikanska regionerna. Till skillnad från de flesta bank-trojaner nuförtiden, som är både stationära och mobilkompatibla, fungerar Mispadu Trojan endast med stationära system som kör Windows-operativsystemet. Det verkar som om skaparna av Mispadu-banken Trojan sprider den via malvertiserande operationer. Målen kommer att luras till att tro att de har vunnit en kupong för McDonald's restauranger. Bortsett från malvertisering har angriparna valt att använda phishing-e-postkampanjer som innehåller en infekterad bilaga.
Innehållsförteckning
Få persistens och samla in data
När Mispadu Trojan lyckas infiltrera en målinriktad värd kommer den att försöka få uthållighet genom att manipulera med Windows-registret och se till att när offren startar om sina datorer, kommer även bankens Trojan att lanseras. Mispadu Trojan kan tillämpa uppdateringar på sina moduler genom att använda en VBS-fil (Visual Basic Script) som också kommer att köras när den infekterade maskinen startas. Därefter kommer Mispadu banking Trojan att se till att ansluta till angriparens C & C (Command & Control) -server och överföra all relevant information om bankrelaterad programvara, språkinställningar, anti-malware applikationer, datornamn, Windows-version, etc. Det har rapporterats att Mispadu Trojan söker efter de komprometterade systemen för ett säkerhetsverktyg angående en bankprogramvara som heter Diebold Warszawa GAS Technologia. Detta säkerhetsverktyg är ganska populärt i Brasilien, och det är troligt att författarna till Mispadu Trojan ser till att det inte kommer att störa deras attack.
Samlar inloggningsuppgifter och har en utklippsmodul för klippbord
Mispadu banks Trojan kan samla in inloggningsuppgifter beträffande populära e-posttjänster - Outlook, Windows Live Mail, Thunderbird, etc. Bank Trojan kan också samla e-postmeddelanden och lösenord från de mest populära webbläsarna - Mozilla Firefox, Google Chrome och Internet Explorer. Ett annat otäckt trick som Mispadu Trojan har i väskan är kapning av urklipp. Detta hot kan upptäcka om offret har kopierat en cryptocurrency plånbokadress och byt den med sin egen plånbokadress utan att användaren märker det. Detta innebär att offren kommer att skicka sin cryptocurrency till angriparna istället för vem den ursprungligen riktades till.
Letar efter nyckelord
Mispadu bank Trojan kan ha använts i samklang med en falsk Google Chrome-förlängning, vilket troligen manipulerar med användarens webbläsare. Detta innebär att hotet kan stänga alla fönster som användaren öppnade och istället starta ett komprometterat fönster. Det kan också skanna fält som finns på sidan som användaren surfar på och söka efter vissa sökord. Det rapporterades att bland dessa nyckelord är "CVV." Detta gör det klart att angriparna följer offrens kreditkortsinformation. Mispadu-skadlig programvara kan också kunna starta en falsk inloggningsskärm där användarna uppmanas att fylla i sina inloggningsuppgifter - detta trick verkar användas mot brasilianska användare som huvudsakligen använder Boleto-betalningsportalen.
Mispadu-bankens trojan är ett mycket potent hot, och användare i Brasilien och Mexiko bör vara mycket försiktiga med detta otäcka hot. Detta betyder dock inte att användare över hela världen är säkra heller, eftersom angriparna alltid kan modifiera Mispadu Trojan och utöka räckvidden till andra länder.
