Mispadu
Mispadu ist ein Banktrojaner, dessen Aktivitäten sich offenbar auf die Regionen Brasiliens und Mexikos konzentrieren. Im Gegensatz zu den meisten heutigen Banking-Trojanern, die sowohl mit dem Desktop als auch mit dem Mobiltelefon kompatibel sind, funktioniert der Mispadu-Trojaner nur mit Desktop-Systemen, auf denen das Windows-Betriebssystem ausgeführt wird. Es scheint, dass die Schöpfer des Mispadu-Banking-Trojaners ihn durch Misswerbung verbreiten. Die Zielgruppe wird zu der Annahme verleitet, dass sie einen Coupon für McDonald's-Restaurants gewonnen hat. Abgesehen von Fehlwerbung haben sich die Angreifer für die Verwendung von Phishing-E-Mail-Kampagnen entschieden, die einen infizierten Anhang enthalten.
Inhaltsverzeichnis
Beharrlichkeit erlangen und Daten sammeln
Wenn es dem Mispadu-Trojaner gelingt, einen Zielhost zu infiltrieren, versucht er, durch Manipulationen an der Windows-Registrierung die Persistenz zu erlangen, um sicherzustellen, dass der Banking-Trojaner auch gestartet wird, wenn die Opfer ihre Computer neu starten. Der Mispadu-Trojaner kann mithilfe einer VBS-Datei (Visual Basic Script) Aktualisierungen für seine Module vornehmen, die auch beim Starten des infizierten Computers ausgeführt werden. Als Nächstes stellt der Mispadu-Banking-Trojaner sicher, dass eine Verbindung zum C & C-Server (Command & Control) des Angreifers hergestellt wird und alle relevanten Informationen zu bankrelevanter Software, Spracheinstellungen, Anti-Malware-Anwendungen, Computernamen, Windows-Version usw. übertragen werden Es wurde berichtet, dass der Mispadu-Trojaner die kompromittierten Systeme nach einem Sicherheitstool für eine Bankensoftware namens Diebold Warsaw GAS Technologia durchsucht. Dieses Sicherheitstool ist in Brasilien sehr beliebt und es ist wahrscheinlich, dass die Autoren des Mispadu-Trojaners sicherstellen, dass es ihren Angriff nicht stört.
Sammelt Anmeldeinformationen und verfügt über ein Hijacker-Modul für die Zwischenablage
Der Mispadu-Banking-Trojaner kann Anmeldeinformationen zu gängigen E-Mail-Diensten (Outlook, Windows Live Mail, Thunderbird usw.) sammeln. Der Banking-Trojaner kann auch E-Mails und Kennwörter von den beliebtesten Webbrowsern (Mozilla Firefox, Google Chrome und Internet Explorer) sammeln. Ein weiterer böser Trick, den der Mispadu-Trojaner in der Tasche hat, ist das Entführen von Zwischenablagen. Diese Bedrohung kann erkennen, ob das Opfer eine Kryptowährungs-Brieftaschenadresse kopiert hat, und diese mit ihrer eigenen Brieftaschenadresse austauschen, ohne dass der Benutzer dies bemerkt. Dies bedeutet, dass die Opfer ihre Kryptowährung an die Angreifer senden, an die sie ursprünglich gerichtet war.
Sucht nach Stichwörtern
Der Mispadu-Banking-Trojaner wurde möglicherweise zusammen mit einer gefälschten Google Chrome-Erweiterung verwendet, die wahrscheinlich den Webbrowser des Benutzers manipuliert. Dies bedeutet, dass die Bedrohung möglicherweise alle vom Benutzer geöffneten Fenster schließen und stattdessen ein gefährdetes Fenster starten kann. Es kann auch Felder durchsuchen, die auf der Seite vorhanden sind, die der Benutzer durchsucht, und nach bestimmten Schlüsselwörtern suchen. Es wurde berichtet, dass unter diesen Stichwörtern "CVV" ist. Dies macht deutlich, dass die Angreifer die Kreditkarteninformationen der Opfer suchen. Die Mispadu-Malware kann möglicherweise auch einen gefälschten Anmeldebildschirm starten, in dem die Benutzer aufgefordert werden, ihre Anmeldeinformationen einzugeben. Dieser Trick wird anscheinend bei brasilianischen Benutzern angewendet, die hauptsächlich das Boleto-Zahlungsportal verwenden.
Der Mispadu-Banking-Trojaner ist eine sehr starke Bedrohung, und Benutzer in Brasilien und Mexiko sollten sich dieser fiesen Bedrohung sehr bewusst sein. Dies bedeutet jedoch nicht, dass Benutzer weltweit sicher sind, da die Angreifer den Mispadu-Trojaner jederzeit modifizieren und seine Reichweite auf andere Länder ausweiten können.
