Mispadu
Mispadu es un troyano bancario cuya actividad parece concentrarse en las regiones brasileña y mexicana. A diferencia de la mayoría de los troyanos bancarios de hoy en día, que son compatibles tanto con computadoras de escritorio como móviles, el troyano Mispadu solo funciona con sistemas de escritorio que ejecutan el sistema operativo Windows. Parece que los creadores del troyano bancario Mispadu lo están propagando a través de operaciones de publicidad maliciosa. Los objetivos serán engañados haciéndoles creer que han ganado un cupón para los restaurantes McDonald's. Además de la publicidad maliciosa, los atacantes han optado por utilizar campañas de correo electrónico de phishing que contienen un archivo adjunto infectado.
Tabla de contenido
Ganar persistencia y recopilar datos
Cuando el troyano Mispadu logra infiltrarse en un host objetivo, intentará ganar persistencia alterando el Registro de Windows, asegurando que cuando las víctimas reinicien sus computadoras, también se lanzará el troyano bancario. El troyano Mispadu puede aplicar actualizaciones a sus módulos utilizando un archivo VBS (Visual Basic Script) que también se ejecutará cuando se inicie la máquina infectada. A continuación, el troyano bancario Mispadu se asegurará de conectarse al servidor C&C (Comando y Control) de los atacantes y transferir cualquier información relevante sobre el software relacionado con la banca, la configuración de idioma, las aplicaciones antimalware, el nombre de la computadora, la versión de Windows, etc. Se ha informado que el troyano Mispadu escanea los sistemas comprometidos en busca de una herramienta de seguridad con respecto a un software bancario llamado Diebold Warsaw GAS Technologia. Esta herramienta de seguridad es bastante popular en Brasil, y es probable que los autores del troyano Mispadu se aseguren de que no interferirá con su ataque.
Recopila credenciales de inicio de sesión y tiene un módulo secuestrador de portapapeles
El troyano bancario Mispadu es capaz de recopilar credenciales de inicio de sesión con respecto a servicios de correo electrónico populares: Outlook, Windows Live Mail, Thunderbird, etc. El troyano bancario también puede recopilar correos electrónicos y contraseñas de los navegadores web más populares: Mozilla Firefox, Google Chrome e Internet Explorer. Otro truco desagradable que el troyano Mispadu tiene en la bolsa es el secuestro del portapapeles. Esta amenaza puede detectar si la víctima ha copiado una dirección de billetera de criptomonedas e intercambiarla con su propia dirección de billetera sin que el usuario lo note. Esto significa que las víctimas enviarán su criptomoneda a los atacantes en lugar de a quién se dirigió originalmente.
Busca palabras clave
El troyano bancario Mispadu puede haber sido utilizado al unísono con una extensión falsa de Google Chrome, que probablemente esté alterando el navegador web del usuario. Esto significa que la amenaza puede ser capaz de cerrar todas las ventanas que el usuario había abierto y, en su lugar, iniciar una ventana comprometida. También puede escanear campos presentes en la página que el usuario está navegando y buscar ciertas palabras clave. Se informó que entre estas palabras clave se encuentra 'CVV'. Esto deja en claro que los atacantes buscan la información de la tarjeta de crédito de las víctimas. El malware Mispadu también puede iniciar una pantalla de inicio de sesión falsa donde se insta a los usuarios a completar sus credenciales de inicio de sesión; este truco parece ser utilizado contra usuarios brasileños que utilizan principalmente el portal de pago Boleto.
El troyano bancario Mispadu es una amenaza muy potente, y los usuarios de Brasil y México deben tener mucho cuidado con esta desagradable amenaza. Sin embargo, esto tampoco significa que los usuarios de todo el mundo estén seguros, ya que los atacantes siempre pueden modificar el troyano Mispadu y expandir su alcance a otros países.
