Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении нового семейства банковских троянов под названием Mispadu, которое использует вредоносные рекламные объявления для заражения пользователей и похищения их банковских данных.
Подобно уже известным банковским троянам Amavaldo и Casbaneiro вредоносная программа Mispadu написана на языке Delphi и обладает функционалом бэкдора. В частности, угроза распространяет поддельные всплывающие окна, пытаясь убедить жертву поделиться личными данными. После попадания на устройство жертвы троян может делать снимки экрана, имитировать действия мыши и клавиатуры и даже считывать нажатия клавиш.
Кроме этого, киберпреступники собирают следующую информацию о своих жертвах:
- версия установленной операционной системы
- имя компьютера
- языковой идентификатор
- наличие приложений для защиты от несанкционированного доступа к Интернет-банкингу
- установленные банковские программы
- установленные продукты по безопасности
Способы распространения вредоносной программы
Исследователи ESET обнаружили два метода распространения банковского трояна Mispadu, используя спам-сообщения или вредоносную рекламу. Первый способ является очень распространенным, в отличие от второго метода. Киберпреступники размещают на Facebook вредоносные рекламные объявления с фальшивыми купонами на скидку в McDonald's. Нажатие на эту рекламу приводит к переходу на вредоносную веб-страницу, где размещен ZIP-файл с инсталлятором MSI, замаскированный под купон на скидку. Выполнение всех этих действий приводит к загрузке банковского трояна Mispadu на устройство жертвы.
Троян использует потенциально нежелательные программы, в частности это модифицированные копии легитимного программного обеспечения с целью извлечения сохраненных данных пользователя с веб-браузеров (Google Chrome, Mozilla Firefox, Internet Explorer) и почтовых клиентов (Microsoft Outlook, Mozilla Thunderbird и Windows Live Mail и другие).
Кроме этого, специалисты ESET обнаружили, что угроза Mispadu распространяла интересное вредоносное расширение для Google Chrome якобы для защиты браузера, но вместо этого киберпреступники похищали банковские данные жертвы. В этот раз злоумышленники использовали платежную систему Boleto, заменяя данные пользователя на свои.
Стоит отметить, что жертвами Mispadu стали в основном пользователи Бразилии и Мексики. Однако в случае дальнейшего распространения подобных вредоносных программ специалисты ESET рекомендуют избегать перехода по разным всплывающим рекламным объявлениям, а также использовать надежное решение для защиты вашего устройства.
Подробная информация об угрозе Mispadu доступна по ссылке.