Nesta sexta-feira (22), a empresa de segurança cibernética ESET divulgou mais um golpe online. Usando o nome do McDonald’s, criminosos criaram um anúncio segmentado no Facebook para propagar um trojan bancário chamado “Mispadu” e já atingiram quase 100 mil cliques somente no Brasil. As detecções da empresa alertam que países como Brasil e México foram […]
Nesta sexta-feira (22), a empresa de segurança cibernética ESET divulgou mais um golpe online. Usando o nome do McDonald’s, criminosos criaram um anúncio segmentado no Facebook para propagar um trojan bancário chamado “Mispadu” e já atingiram quase 100 mil cliques somente no Brasil.
As detecções da empresa alertam que países como Brasil e México foram os mais atingidos na América Latina.
Como explicado, o anúncio carrega um URL encurtada pelo serviço Tiny.CC e mira usuários do Android e Windows.
Os pesquisadores da ESET afirmam que a campanha teve duas fases, sendo uma até a segunda metade de setembro e outra no início de outubro.
O malware identificado pela ESET se assemelha com outros, como Amavaldo ou Casbaneiro. Ele é escrito pela linguagem de programação Delphi e “caça” as vítimas através de pop-ups. A ideia é convencer, por alguma “promoção” ou algo do tipo, o usuário a enviar seus dados e credenciais pessoais.
Uma das capacidades do malware é fazer capturas de tela, embora também seja capaz de simular ações do cursor do mouse e do teclado. Ele também pode registrar as teclas que são pressionadas.
Além dos anúncios falsos (malvertising), a campanha também é distribuída através de spam. Mas, no caso dos anúncios, os links encurtados carregavam um arquivo .ZIP com um instalador do MSI.
Ao ser executado, o instalador começa uma série com três scripts; a última etapa é o download e ação do trojan bancário Mispadu. Ele também se camufla em outros quatro aplicativos baseados em softwares legítimos, assim pode extrair as credenciais de e-mail e navegador de usuários infectados.
Segundo a ESET, no Brasil, o Mispadu distribui uma extensão do Google Chrome que propõe navegação segura no browser. Por outro lado, a intenção é roubar dados bancários e de cartões de crédito.
A empresa de segurança também alerta que o Mispadu carrega um componente chamado “Ticket”. Ele é capaz de substituir códigos de barra legítimos de boletos por outros vinculados à conta bancária de cibercriminosos.
A dica de sempre é desconfiar de promoções que apareçam via canais não oficiais. Também é altamente recomendado não clicar em links suspeitos, mesmo que venham de amigos e afins.
