To miał być kupon do McDonald's! Reklama serwowała trojana zamiast zniżki

To miały być kupony zniżkowe do restauracji McDonald's. Specjaliści znaleźli jednak kolejnego trojana bankowego, wykorzystującego fałszywą reklamę. Celem jest wykradanie danych finansowych, a docelowo okradanie użytkowników zarażonych komputerów.

Trojan obiecywał kupony do McDonald's, wykradał dane logowania do banku
Trojan obiecywał kupony do McDonald's, wykradał dane logowania do banku

19.11.2019 16:42

Mowa o trojanach z rodziny Mispadu, opisanych przez specjalistów z ESET. Trojany zostały zaobserwowane w akcji i możemy być pewni, że są wykorzystywane w prawdziwych atakach.

Uważaj na fałszywe e-maile i reklamy

Do infekcji trojanem Mispadu może dojść na dwa sposoby. To kolejne zagrożenie, które wykorzystuje e-mail, by przekonać użytkownika do otwarcia fałszywego dokumentu. Może to być e-mail z fałszywą fakturą DHL albo wyglądający na ważną informację – tu wszystko zależy od kreatywności atakujących.

Dużo ciekawszy jest drugi sposób. Mispadu wykorzystuje fałszywe reklamy. Cyberprzestępcy wykupili reklamy na Facebooku i przygotowali kampanię do złudzenia przypominającą zniżki w restauracjach McDonald's. Przykład opisany przez ESET pochodzi z kampanii prowadzonej w Brazylii i Meksyku.

Fałszywe bannery reklamowe, używane do rozprowadzania trojana (ESET)
Fałszywe bannery reklamowe, używane do rozprowadzania trojana (ESET)

Bannery reklamowe mają przekonać internautów do przejścia na stronę udającą prawdziwe promocje na kanapki i desery w restauracjach w Brazylii i Meksyku. Tam trzeba było podać adres e-mail, by dostać kupon.

Fałszywa strona z promocjami (ESET)
Fałszywa strona z promocjami (ESET)

Zamiast kuponu ofiara otrzymywała e-mail z linkiem do archiwum ZIP. W środku był oczywiście instalator szkodliwego programu. Jeśli uruchomiła go, skuszona obietnicą darmowych frytek, na komputer ściągany był trojan.

Mispadu – groźny złodziej danych

Szkodliwy program może podsłuchiwać, co jest wpisywane na klawiaturze, symulować kliknięcia myszy i robić zrzuty ekranu na zainfekowanym komputerze. Program monitoruje też schowek, gdzie może podmieniać adresy portfeli kryptowalut. Analogicznie trojan podmieniał numery biletów Boleto – to numery transakcji, potrzebne do wpłat z użyciem systemu Boleto, popularnego w Brazylii.

Na niektórych z zainfekowanych komputerów w przeglądarce Google Chrome pojawiło się szkodliwe rozszerzenie o nazwie Security System 1.0, które obiecuje „chronić przeglądarkę”. Rozszerzenie wyświetla fałszywe wyskakujące okienka, podszywające się pod prawdziwe usługi, także finansowe. W ten sposób cyberprzestępcy starają się przekonać internautów, by podawali swoje dane. Cyberprzestępcy gromadzą w ten sposób dane logowania do bankowości internetowej i numery kart kredytowych.

Opisany trojan sprawdza także język systemu. W tym przypadku mamy do czynienia z kampanią działającą tylko w dwóch krajach i wymierzoną w lokalne usługi. Według danych ESET, w fałszywe reklamy kliknęło 100 tys. osób w ciągu zaledwie kilku dni aktywności.

Warto mieć się na baczności – analogiczne zagrożenie w każdej chwili może pojawić się w naszym regionie.

Kilka ciekawostek dla zaawansowanych

Trojan z rodziny Mispadu został napisany w języku Delphii. Instalator zawiera skrypt VBS unpacker, który rozpakowuje i uruchamia skrypt downloader. Dopiero na tym etapie ściągany jest trzeci skrypt loader, instalujący właściwego trojana. Na tym etapie sprawdzany jest język systemu i działanie wewnątrz maszyny wirtualnej – jeśli któryś z warunków nie jest spełniony, atak jest kończony.

Jeśli skrypt trafił na komputer w Brazylii lub Meksyku, ściąga właściwy trojan, bibliotekę DLL, która go wstrzyknie i biblioteki dodatkowe (nieszkodliwe). Każdy element jest pobierany w osobnym archiwum ZIP i zaszyfrowany. Mispadu będzie uruchamiany razem z systemem i może się sam aktualizować, korzystając ze skryptów.

Podobnie jak trojany z rodziny Amavaldo i Casbaneiro, Mispadu wykorzystuje unikatowy algorytm szyfrujący ciągu znaków w kodzie. W ten sposób ukrywane są fragmenty plików konfiguracyjnych i komunikacja z serwerem C&C. Do dystrybucji e-maili z linkami do trojana cyberprzestępcy wykorzystali rosyjską usługę Yandex.Mail, łamiąc jej regulamin.

W zasobach trojana znajdują się ponadto cztery programy firmy NirSoft – dobrze znane każdemu, kto kiedyś zgubił hasło do WiFi czy poczty. Programy są zmodyfikowane, by działały bez interfejsu graficznego, dzięki czemu ofiara nie wie, że są uruchamiane. Narzędzia te mają na celu wydobycie haseł z przeglądarek i klientów poczty.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (25)