Anúncio falso do McDonald’s tem 100 mil cliques no Brasil

ESET identificou o trojan bancário Mispadu, que afeta principalmente usuários da América Latina. Até agora, o Brasil e o México foram os países mais atingidos por esse novo malware.

Como o anúncio falso segmentado para o Brasil usou o encurtador de URL Tiny.CC, a ESET conseguiu identificar que a campanha produziu quase 100.000 cliques exclusivamente do país. Os cliques do Android provavelmente são o resultado da exibição do anúncio no Facebook, independentemente do dispositivo do usuário. Além disso, a campanha é recorrente: uma fase terminou na segunda metade de setembro de 2019 e emergiu novamente no início de outubro de 2019.

Semelhante a outras famílias de cavalos de troia recentemente identificadas pela ESET, como Amavaldo ou Casbaneiro , o Mispadu é escrito pela linguagem de programação Delphi, e procura as vítimas por meio de pop-ups falsos, que tentam convencer os usuários a enviar seus dados e credenciais pessoais. Este trojan contém um backdoor que faz capturas de tela, simula as ações do cursor do mouse e do teclado, como também registra as teclas que são pressionadas.

O Laboratório de Pesquisa ESET observou dois métodos diferentes de distribuição do Mispadu: um por meio de spam e outro através de anúncios falsos, o malvertising . Nesse caso, os cibercriminosos colocam anúncios no Facebook oferecendo cupons falsos no McDonald’s. Depois de clicar no anúncio, a vítima acessa um site mal-intencionado, no qual pode baixar um arquivo compactado no formato ZIP, que contém o instalador do MSI, camuflado como um cupom de desconto. Se for baixado e executado, começa uma série de três scripts que termina com o download e a ação do trojan bancário Mispadu. O malware usa quatro aplicativos potencialmente indesejados, todos eles são cópias modificadas de softwares legítimos, com o objetivo de extrair as credenciais armazenadas de e-mails e navegadores do usuários infectados.

No Brasil, a ESET observou que o Mispadu distribui uma extensão do Google Chrome que propõe às vítimas “proteção ao navegador”. No entanto, o que ele realmente faz é roubar dados bancários e cartões de crédito on-line, o que compromete até o boleto bancário. O componente Ticket que está contido no Mispadu é um dos recursos mais avançados, pois substitui o código de barras legítimo em um boleto por outro vinculado à conta bancária de cibercriminosos.

Outro malware

A ESET encontrou também um diretório aberto em um dos servidores usados ​​pelo Mispadu que armazenava arquivos conectados a uma campanha muito semelhante. Esses arquivos podem ser usados​​para criar uma página da web que imita o site brasileiro AreaVIP e força suas possíveis vítimas a uma atualização falsa do Adobe Flash Player. De acordo com a empresa de segurança, a campanha não está ativa, podendo inclusive ser uma campanha que estava configurada para uso futuro.

A ESET fornece algumas dicas para evitar cair neste tipo de golpe:

• Desconfie de promoções que surjam por meios de canais não oficiais. As empresas geralmente divulgam ofertas e promoções por meio de seu site ou nas redes sociais.

• Evite clicar em links suspeitos, mesmo que sejam de alguém que você conheça. A propagação da campanha é feita entre os contatos da própria vítima.

• Instale uma solução de segurança confiável em cada um dos dispositivos conectados à Internet que você usa, e mantenha esses dispositivos atualizados.

A ESET recomenda um guia para proteção na Internet , com conselhos úteis para esse tipo de situação.

Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: http://www.welivesecurity.com/br/

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

WP Twitter Auto Publish Powered By : XYZScripts.com