Специалисты компании ESET рассказали о банковском трояне Mispadu из Латинской Америки, который использует фейковую рекламу McDonald’s для распространения. Основными целями трояна являются кража денежных средств и учетных данных. Интересно, что в Бразилии малварь распространяется и как вредоносное расширение для Google Chrome, пытается похищать данные банковских карт и онлайн-банкинга, а также ставит под угрозу пользователей платежной системы Boleto.
Семейство малвари Mispadu было выявлено во время исследования банковских троянов в Латинской Америке, предназначенных для атак на пользователей из Бразилии и Мексики. Вредонос написан на Delphi и атакует своих жертв, используя те же методы, что и ранее обнаруженные экспертами трояны Amavaldo и Casbaneiro. В основном это использование поддельных всплывающих окон и попытки убедить потенциальных жертв сообщить злоумышленникам конфиденциальную информацию.
Распространяется Mispadu при помощи спама и вредоносной рекламы. Второй способ распространения не слишком характерен для латиноамериканских банкеров, поэтому его исследователи изучили подробнее.
Так, мошенники начинали с размещения коммерческих публикаций в Facebook, которые предлагали пользователям скидочные купоны в McDonald’s. Кликая по такому рекламному объявлению, потенциальная жертва загружала файл ZIP, замаскированный под скидочный купон и содержащий установщик MSI. Иногда архивы также содержат легитимное ПО, такое как Mozilla Firefox или PuTTY, но это лишь приманки, которые вообще никак не используются. Запустив такой архив пользователь, разумеется, получает не купон на скидку, а банковский троян Mispadu.
Интересно, что операторы Mispadu использовали Яндекс.Почту для хранения своей полезной нагрузки. Судя по всему, преступники завели учетную запись на Яндекс.Почте, отправили письмо с вредоносным купоном в качестве вложения самим себе, а затем предоставляли жертвам прямую ссылку на это вложение.
На зараженном устройстве Mispadu способен делать скриншоты, имитировать действия мыши и клавиатуры, а также перехватывать нажатия клавиш. Вредонос может обновлять себя через файл Visual Basic Script (VBS), который он загружает и выполняет. Также Mispadu следит за содержимым буфера обмена и пытается заменить попадающие туда адреса Bitcoin-кошельков адресами своих операторов, как это делал Casbaneiro. Тем не менее, после изучения кошелька злоумышленников исследователи пришли к выводу, что пока эти попытки особенным успехом не увенчались.
Как и другие латиноамериканские банкеры Mispadu собирает детальную информацию о своих жертвах: версию ОС, имя компьютера, данные о системном языке, список установленных в системе приложений латиноамериканских банков, список установленных защитных продуктов, информацию об установке Diebold Warsaw GAS Tecnologia (популярное в Бразилии приложение для защиты доступа к онлайн-банкингу).
Как уже было сказано выше, в Бразилии малварь и вовсе распространялась как вредоносное расширение Securty System 1.0 для Google Chrome, то есть была обнаружена в официальном каталоге Chrome Web Store. Схему вредоносных действий такого расширения можно увидеть ниже.
Поскольку в ходе бразильской кампании Mispadu использовались короткие URL Tiny.cc, эксперты смогли собрать статистику. Как видно на рисунке ниже, кампания привлекла почти 100 000 кликов только из Бразилии. Клики, исходящие с устройств под управлением Android, скорее всего, являются результатом ошибки, так как реклама в Facebook показывалась пользователям независимо от используемого устройства. Также можно заметить, что у вредоносной кампании были четкие фазы: одна фаза закончилась во второй половине сентября 2019 года, и кампания вновь активизировалась в начале октября 2019 года.