新型銀行木馬Mispadu利用虛假麥當勞廣告竊取用戶信息

2019-11-21 43516人圍觀 ,發現 1 個不明物體 資訊

ESET研究人員發現一種新型銀行木馬正試圖竊取一名拉美用戶的財務信息,該木馬是通過使用假麥當勞優惠券進行誘騙和惡意垃圾郵件活動傳播的。

Laptop_Malware.jpg

ESET研究團隊發現了這種新型木馬,并將其命名為Mispadu。Mispadu這種無文件惡意程序與其他拉丁美洲銀行木馬(例如Amavaldo和Casbaneiro)相似,他們都是在Delphi中開發的,并使用自定義加密算法來混淆其源代碼。

該銀行木馬專門用于攻擊巴西和墨西哥的用戶,針對不同的國家地區目標具有專門的變體,安裝程序以及后續手段。

以假麥當勞折扣券為誘餌

該木馬的傳播方式主要是利用垃圾郵件或惡意Facebook廣告傳播虛假的麥當勞折扣券,這些垃圾郵件和惡意Facebook廣告再將感染用戶轉到提供麥當勞優惠券的攻擊者控制的網站。

然后,感染用戶必須單擊一個按鈕生成優惠券,但實際上,按鈕背后是一個已歸檔的MSI安裝程序,攻擊者利用該程序啟動解壓程序腳本,該腳本可以解密并運行捆綁的下載程序模塊,最后該程序模塊反過來可以從遠程服務器中檢索加載程序。

該加載程序將刪除Mispadu的配置文件,加密的銀行木馬負載和在感染系統上運行惡意軟件的注入程序DLL。

Mispadu campaign chain.png

在感染鏈的最后一步,加載程序腳本將在啟動文件夾中添加一個鏈接,并開始注入程序,該注入程序自動解密并運行上一步中下載的加密有效負載。

ESET說,“加載程序腳本比前兩個步驟要復雜。它是有特定語言環境,它檢查感染設備的語言標識符來驗證它確實是攻擊者的目標國家(巴西或墨西哥) “。

“它也可以檢測某些虛擬環境。如果檢測到虛擬環境或找不到所需的語言環境,則加載程序會自動退出。”

ESET在使用惡意Google Chrome擴展程序時也發現了Mispadu,它欺騙用戶這是用來保護Chrome Web瀏覽器,而不是借三個JavaScript文件來感染目標系統的。

Sies serving fake McDonald's coupons.png

竊取憑據和敏感信息

成功感染設備之后,Mispadu就會使用虛假的彈出窗口,引誘用戶泄露敏感信息,就像Casbaneiro和Amavaldo 木馬一樣。

Mispadu的主要目標是竊取設備和系統信息,例如常見的已安裝的拉丁美洲銀行應用程序列表和安全產品列表。

該惡意軟件還從多種Web瀏覽器和電子郵件客戶端中提取憑據,包括但不限于Google Chrome,Mozilla Firefox,Internet Explorer,Microsoft Outlook,Mozilla Thunderbird和Windows Live Mail。

Mispadu還具有Clipper功能,因為它能用自己的錢包替換所有其他的比特幣錢包。ESET表示,到目前為止,它尚未盜取任何加密貨幣資金。

攜帶Mispadu的Chrome擴展程序組件還可以在一系列硬編碼網站中,從輸入表單字段中抓取、收集信用卡數據。

Sample Boleto ticket.png

惡意Chrome擴展程序還內置了以下功能:從硬編碼網站的網站中抓取、收集銀行信息,并將Boleto支付系統生成的支付票證上的ID號替換為Mispadu背后攻擊者控制的信息。

研究人員說:“Mispadu具有后門功能,它可以截屏,模擬鼠標和使用鍵盤。它可以下載并運行Visual Basic腳本(VBS)文件進行自動更新。”

ESET在發布的報告《Mispadu:一條并不讓人開心的折扣餐券廣告》文末列出的一系列IOC,其中包括惡意軟件樣本SHA-1哈希值和銀行木馬使用的服務器地址。

*參考來源:Bleepingcomputer,轉載請注明來自FreeBuf.COM

相關推薦
發表評論

已有 1 條評論

取消
Loading...

這家伙太懶,還未填寫個人描述!

72 文章數 2 評論數 0 關注者

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 什么app能玩二人麻将