A ESET identificou o trojan bancário Mispadu, que afeta principalmente usuários da América Latina. Até agora, o Brasil e o México foram os países mais atingidos por esse novo malware.
Como o anúncio falso segmentado para o Brasil usou o encurtador de URL Tiny.CC, a ESET conseguiu identificar que a campanha produziu quase 100.000 cliques exclusivamente do país. Os cliques do Android provavelmente são o resultado da exibição do anúncio no Facebook, independentemente do dispositivo do usuário. Além disso, a campanha é recorrente: uma fase terminou na segunda metade de setembro de 2019 e emergiu novamente no início de outubro de 2019.
Semelhante a outras famílias de cavalos de troia recentemente identificadas pela ESET, como Amavaldo ou Casbaneiro , o Mispadu é escrito pela linguagem de programação Delphi, e procura as vítimas por meio de pop-ups falsos, que tentam convencer os usuários a enviar seus dados e credenciais pessoais. Este trojan contém um backdoor que faz capturas de tela, simula as ações do cursor do mouse e do teclado, como também registra as teclas que são pressionadas.
O Laboratório de Pesquisa ESET observou dois métodos diferentes de distribuição do Mispadu: um por meio de spam e outro através de anúncios falsos, o malvertising . Nesse caso, os cibercriminosos colocam anúncios no Facebook oferecendo cupons falsos no McDonald’s. Depois de clicar no anúncio, a vítima acessa um site mal-intencionado, no qual pode baixar um arquivo compactado no formato ZIP, que contém o instalador do MSI, camuflado como um cupom de desconto. Se for baixado e executado, começa uma série de três scripts que termina com o download e a ação do trojan bancário Mispadu. O malware usa quatro aplicativos potencialmente indesejados, todos eles são cópias modificadas de softwares legítimos, com o objetivo de extrair as credenciais armazenadas de e-mails e navegadores do usuários infectados.
No Brasil, a ESET observou que o Mispadu distribui uma extensão do Google Chrome que propõe às vítimas “proteção ao navegador”. No entanto, o que ele realmente faz é roubar dados bancários e cartões de crédito on-line, o que compromete até o boleto bancário. O componente Ticket que está contido no Mispadu é um dos recursos mais avançados, pois substitui o código de barras legítimo em um boleto por outro vinculado à conta bancária de cibercriminosos.
Outro malware
A ESET encontrou também um diretório aberto em um dos servidores usados pelo Mispadu que armazenava arquivos conectados a uma campanha muito semelhante. Esses arquivos podem ser usadospara criar uma página da web que imita o site brasileiro AreaVIP e força suas possíveis vítimas a uma atualização falsa do Adobe Flash Player. De acordo com a empresa de segurança, a campanha não está ativa, podendo inclusive ser uma campanha que estava configurada para uso futuro.
A ESET fornece algumas dicas para evitar cair neste tipo de golpe:
• Desconfie de promoções que surjam por meios de canais não oficiais. As empresas geralmente divulgam ofertas e promoções por meio de seu site ou nas redes sociais.
• Evite clicar em links suspeitos, mesmo que sejam de alguém que você conheça. A propagação da campanha é feita entre os contatos da própria vítima.
• Instale uma solução de segurança confiável em cada um dos dispositivos conectados à Internet que você usa, e mantenha esses dispositivos atualizados.
A ESET recomenda um guia para proteção na Internet , com conselhos úteis para esse tipo de situação.
Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: http://www.welivesecurity.com/br/