Банковский троян Mispadu распространяется через рекламу McDonald’s

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 25 Nov 2019.

  1. alexzir

    alexzir Active Member

    Joined:
    29 Oct 2019
    Messages:
    98
    Likes Received:
    258
    Reputations:
    1
    Международная антивирусная компания ESET сообщает об обнаружении нового банковского трояна Mispadu, который использует фейковую рекламу McDonald’s для распространения.

    Ранее ESET описала вредоносы Amavaldo и Casbaneiro, похожие на Mispadu: они также написаны на Delphi и используют всплывающие уведомления Windows для выманивания личных данных жертвы.

    Специалисты ESET сообщают, что атака совершается с помощью спама и вредоносной рекламы. Мошенники размещали коммерческие публикации на Facebook, которые предлагали скидочные купоны в McDonald’s.

    Кликая по рекламному объявлению, потенциальная жертва загружала ZIP-файл, который маскировался под скидочный купон. Запустив его, пользователь невольно загружал банковский троян Mispadu.

    Попав на устройство жертвы, Mispadu мог делать скриншоты, имитировать движения мышкой и нажатия нужных клавиш на клавиатуре. Кроме того, он способен собирать следующие данные: версию ОС, список установленных банковских приложений и антивирусных программ, а также другие персональные данные.

    Целевая аудитория Mispadu — пользователи из Мексики и Бразилии.

    Что примечательно, в Бразилии Mispadu обнаружен в официальном магазине расширений Google Chrome. Троян обещает защитить браузер — но вместо этого пытается украсть банковскую информацию.

    Источник: https://www.esetnod32.ru/company/pr...rasprostranyaetsya-cherez-reklamu-mcdonald-s/
    Пруф по теме: https://www.welivesecurity.com/2019/11/19/mispadu-advertisement-discounted-unhappy-meal/
    Пруф по теме на hakep.ru: https://xakep.ru/2019/11/20/mispadu/

    P.S. А вот эта часть говорит, что у АНБ есть новый повод искать следы русских кулхацкеров :)
    Mispadu’s operators abused the Russian Yandex.Mail platform to store their payload (see Figure 12). The most probable scenario is that the operators created an account on Yandex.Mail, sent an email with the malicious coupon as an attachment to themselves and then pointed the potential victim to a direct link to this attachment.

    P.P.S. Детекты по хэшу:
    Brazilian campaign

    SHA-1
    Description ESET detection name
    A4EDA0DD2C33A644FEEF170F5C24CF7595C19017 MSI installer VBS/TrojanDownloader.Agent.RVY
    A9BADCBF3BD5C22EEB6FAF7DB8FC0A24CF18D121 Mispadu injector Win32/Injector.EHXF
    337892E76F3B2DF0CA851CCF4479E56EAF2DB8FD Mispadu banking trojan (PE compilation timestamp 8 Sep, 2019) Win32/Spy.Mispadu.C
    A8CD12CC0BBD06F14AA136EA5A9A2E299E450B18 Mispadu banking trojan (PE compilation timestamp 2 Oct, 2019) Win32/Spy.Mispadu.C
    Mexican campaign

    SHA-1
    Description ESET detection name
    CFE21DBFB97C2E93F099D351DE54099A3FC0C98B MSI installer VBS/TrojanDownloader.Agent.RVY
    251AC7386D1B376FB1CB0E02BDFC45472387C7BC Mispadu injector Win32/Injector.EHXF
    A4FC4162162A02CE6FEADFE07B22465686A0EC39 Mispadu banking trojan (PE compilation timestamp 10 Sep, 2019) Win32/Spy.Mispadu.J
    710A20230B9774B3D725539385D714B2F80A5599 Mispadu banking trojan (PE compilation timestamp 11 Sep, 2019) Win32/Spy.Mispadu.J
    Google Chrome extension

    SHA-1
    Description ESET detection name
    3486F6F21034A33C5425A398839DE80AC88FECA8 Component 1 (manipulating windows) JS/Spy.Banker.DQ
    1D19191FB2E9DED396B6352CBF5A6746193D05E8 Component 2 (credit cards) JS/Spy.Banker.DQ
    22E6EBDFAB7C2B07FF8748AFE264737C8260E81E Component 3 (banking and Boleto data) JS/Spy.Banker.DQ
    Potentially unwanted applications for credential theft

    SHA-1
    Description ESET detection name
    63DCBE2DB9CC14564EB84D5E953F2F9F5C54ACD9 Email client credential stealer Win32/PSWTool.MailPassView.E
    8B950BF660AA7B5FB619E1F6E665D348BF56C86A Google Chrome credential stealer Win32/PSWTool.ChromePass.A
    F6021380AD6E26038B5629189A7ADA5E0022C313 Mozilla Firefox credential stealer Win32/PSWTool.PassFox.F
    76F70276EB95FFEC876010211B7198BCBC460646 Internet Explorer credential stealer Win32/PSWTool.IEPassView.NAH
     
    #1 alexzir, 25 Nov 2019
    Last edited: 25 Nov 2019
    Suicide likes this.
Loading...