Спецпроекты

ПО Безопасность Маркет

Грабительское ПО атакует любителей McDonald’s

Специально разработанный для атак на жителей Бразилии и Мексики банковский троянец рассылается через спам с предложениями скидочных купонов в McDonald’s. Троянец также создает бэкдор в зараженной машине для своих операторов.

Специально для Бразилии и Мексики

Новый и весьма опасный банковский троянец Mispadu распространяется в Латинской Америке вместе с фальшивыми цифровыми купонами McDonald's. После заражения троянец пытается выкрасть платежную информацию.

Эксперты ESET, обнаружившие вредонос, указывают на его сходство с двумя другими латиноамериканскими банковскими троянцами: Amavaldo и Ccasbaneiro. Как и они, Mispadu написан на Delphi и использует самописный криптоалгоритм для обфускации (запутывания) исходного кода.

Mispadu написан специально для атак на пользователей в Бразилии и Мексике. Существует несколько его вариантов, разные инсталляторы, и после стадии установки вредонос также ведет себя по-разному, в зависимости от того, где находится жертва. Это не удивительно, учитывая, что в Бразилии официальным государственным языком является португальский, а в Мексикеиспанский.

Вот что я (не)люблю

В качестве приманки для пользователей применяются фальшивые скидочные купоны McDonald's, распространяемые через электронную почту или вредоносную рекламу на Facebook, с которой пользователей переадресовывают на сайт злоумышленников.

Любители фаст-фуда оказались под угрозой

В почтовом сообщении или на сайте пользователям предлагается нажать на экранную кнопку для генерации купона. В реальности же пользователю скачивается заархивированный MSI-установщик, которым злоумышленники пользуются для запуска незапакованного скрипта. Далее начинается многоступенчатый процесс загрузки модулей вредоноса, его установщика, конфигурационных файлов и инъектора DLL, предназначенного уже для запуска самого вредоноса.

Скрипт загрузчика (активирующийся на третьей стадии) выглядит сложнее других: он проверяет язык системы, чтобы установить, находится ли атакованная машина в Бразилии или Мексике. Он также способен обнаруживать некоторые виртуальные среды, и если оказывается, что его запустили на виртуальной машине, немедленно деактивируется.

Эксперты ESET также обнаружили, что Mispadu пытаются распространять через расширения Google Chrome, якобы призванные защищать компьютер от вредоносных программ. На деле же снова происходит заражение, но несколько другим образом.

Кейлоггер и бэкдор

Основная цель Mispadu — красть системную информацию об устройстве, в том числе, список установленных банковских приложений и средств безопасности. Кроме того, вредонос собирает сведения о веб-браузерах и почтовых клиентах Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Outlook, Mozilla Thunderbird и Windows Live Mail. Троянец также перехватывает данные из буфера обмена и подменяет любой адрес кошелька биткоинов на принадлежащий злоумышленникам. Впрочем, по данным экспертов ESET, пока ни одной успешной кражи криптовалют за троянцем не замечено.

Компоненты Mispadu для вредоносного расширения Chrome могут также перехватывать данные кредитных карт с предзаданного списка сайтов и подменять идентификационные номера на платежных чеках, сгенерированных с помощью платежной системы Boleto, так, чтобы деньги уходили злоумышленникам.

В качестве бэкдора Mispadu способен делать скриншоты, имитировать курсор мыши и перехватывать или имитировать нажатия клавиш на клавиатуре.

«Перечисленная функциональность троянца уже не выглядит чем-то экзотическим, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Финансово-мотивированные киберзлоумышленники предпочитают использовать многофункциональные инструменты, и, соответственно, спрос рождает предложение. То, что в качестве приманки используются скидочные купоны McDonald's, повышает шансы злоумышленников на успех, но и в этом нет ничего слишком уж нового. В целом, Mispadu — разработка, отвечающая нынешним тенденциям, но едва ли влияющая на них».

Роман Георгиев

Короткая ссылка