A ESET , empresa proativa na detecção de ameaças, identificou o trojan bancário Mispadu, que afeta principalmente usuários da América Latina
Como o anúncio falso segmentado para o Brasil usou o encurtador de URL Tiny.CC, a ESET conseguiu identificar que a campanha produziu quase 100.000 cliques exclusivamente do país. Os cliques do Android provavelmente são o resultado da exibição do anúncio no Facebook, independentemente do dispositivo do usuário. Além disso, a campanha é recorrente: uma fase terminou na segunda metade de setembro de 2019 e emergiu novamente no início de outubro de 2019.
Semelhante a outras famílias de cavalos de troia recentemente identificadas pela ESET, como Amavaldo ou Casbaneiro , o Mispadu é escrito pela linguagem de programação Delphi, e procura as vítimas por meio de pop-ups falsos, que tentam convencer os usuários a enviar seus dados e credenciais pessoais. Este trojan contém um backdoor que faz capturas de tela, simula as ações do cursor do mouse e do teclado, como também registra as teclas que são pressionadas.
O Laboratório de Pesquisa ESET observou dois métodos diferentes de distribuição do Mispadu: um por meio de spam e outro através de anúncios falsos, o malvertising . Nesse caso, os cibercriminosos colocam anúncios no Facebook oferecendo cupons falsos no McDonald’s. Depois de clicar no anúncio, a vítima acessa um site mal-intencionado, no qual pode baixar um arquivo compactado no formato ZIP, que contém o instalador do MSI, camuflado como um cupom de desconto. Se for baixado e executado, começa uma série de três scripts que termina com o download e a ação do trojan bancário Mispadu. O malware usa quatro aplicativos potencialmente indesejados, todos eles são cópias modificadas de softwares legítimos, com o objetivo de extrair as credenciais armazenadas de e-mails e navegadores do usuários infectados.
No Brasil, a ESET observou que o Mispadu distribui uma extensão do Google Chrome que propõe às vítimas “proteção ao navegador”. No entanto, o que ele realmente faz é roubar dados bancários e cartões de crédito on-line, o que compromete até o boleto bancário. O componente Ticket que está contido no Mispadu é um dos recursos mais avançados, pois substitui o código de barras legítimo em um boleto por outro vinculado à conta bancária de cibercriminosos.
Outro malware
A ESET encontrou também um diretório aberto em um dos servidores usados pelo Mispadu que armazenava arquivos conectados a uma campanha muito semelhante. Esses arquivos podem ser usados para criar uma página da web que imita o site brasileiro AreaVIP e força suas possíveis vítimas a uma atualização falsa do Adobe Flash Player. De acordo com a empresa de segurança, a campanha não está ativa, podendo inclusive ser uma campanha que estava configurada para uso futuro.
A ESET fornece algumas dicas para evitar cair neste tipo de golpe:
- Desconfie de promoções que surjam por meios de canais não oficiais. As empresas geralmente divulgam ofertas e promoções por meio de seu site ou nas redes sociais.
- Evite clicar em links suspeitos, mesmo que sejam de alguém que você conheça. A propagação da campanha é feita entre os contatos da própria vítima.
- Instale uma solução de segurança confiável em cada um dos dispositivos conectados à Internet que você usa, e mantenha esses dispositivos atualizados.
A ESET recomenda um guia para proteção na Internet , com conselhos úteis para esse tipo de situação.
Para saber mais sobre segurança da informação, entre no portal de notícias da ESET.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a usar tecnologia com segurança. Seu portfólio de soluções oferece às empresas e aos consumidores em todo o mundo um equilíbrio perfeito de desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e tem escritórios em Bratislava, São Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite o site.
Desde 2004, a ESET opera na América Latina, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e descoberta proativa de várias ameaças virtuais.
