ミスパドゥ
Mispaduは、ブラジルとメキシコの地域に活動が集中しているように見える銀行のトロイの木馬です。現在、デスクトップとモバイルの両方に対応しているほとんどの銀行トロイの木馬とは異なり、Mispaduトロイの木馬はWindowsオペレーティングシステムを実行しているデスクトップシステムでのみ動作します。 Mispaduバンキング型トロイの木馬の作成者は、マルバタイジング操作を介してこのトロイの木馬を広めているようです。ターゲットは、マクドナルドのレストランのクーポンを獲得したと信じ込ませます。攻撃者は、マルバタイジングとは別に、感染した添付ファイルを含むフィッシングメールキャンペーンを使用することを選択しました。
目次
永続化とデータ収集
Mispaduトロイの木馬が標的のホストに侵入すると、Windowsレジストリを改ざんして永続化を試み、被害者がコンピューターを再起動したときに銀行トロイの木馬も起動されるようにします。 Mispaduトロイの木馬は、感染マシンの起動時にも実行されるVBS(Visual Basic Script)ファイルを利用して、モジュールに更新を適用できます。次に、Mispaduバンキング型トロイの木馬は、攻撃者のC&C(コマンド&コントロール)サーバーに接続し、バンキング関連ソフトウェア、言語設定、マルウェア対策アプリケーション、コンピューター名、Windowsバージョンなどに関する関連情報を転送するようにします。 Mispaduトロイの木馬は、Diebold Warsaw GAS Technologiaと呼ばれるバンキングソフトウェアに関するセキュリティツールを求めて、侵害されたシステムをスキャンすると報告されました。このセキュリティツールはブラジルでかなり人気があり、Mispaduトロイの木馬の作成者は攻撃を妨害しないことを確認している可能性があります。
ログイン資格情報を収集し、クリップボードハイジャッカーモジュールを備えています
Mispaduバンキング型トロイの木馬は、Outlook、Windows Live Mail、Thunderbirdなどの一般的なメールサービスに関するログイン資格情報を収集できます。バンキング型トロイの木馬は、Mozilla Firefox、Google Chrome、Internet Explorerなどの最も一般的なWebブラウザーから電子メールとパスワードを収集することもできますMispaduトロイの木馬が抱えているもう1つの厄介なトリックは、クリップボードのハイジャックです。この脅威は、被害者が暗号通貨ウォレットアドレスをコピーしたかどうかを検出し、ユーザーに気付かれずに自分のウォレットアドレスと交換することができます。これは、被害者が暗号通貨を本来の宛先ではなく攻撃者に送信することを意味します。
キーワードを探す
Mispaduバンキング型トロイの木馬は、偽のGoogle Chrome拡張機能と組み合わせて使用された可能性があり、ユーザーのWebブラウザを改ざんしている可能性があります。これは、脅威がユーザーが開いたすべてのウィンドウを閉じ、代わりに侵害されたウィンドウを起動できる可能性があることを意味します。また、ユーザーが閲覧しているページに存在するフィールドをスキャンし、特定のキーワードを検索できます。これらのキーワードの中には「CVV」があることが報告されました。これにより、攻撃者が被害者のクレジットカード情報を盗んでいることが明らかになります。 Mispaduマルウェアは、ユーザーにログイン資格情報の入力を促す偽のログイン画面を起動することもできます。このトリックは、主にBoleto支払いポータルを使用するブラジルのユーザーに対して使用されるようです。
Mispaduバンキング型トロイの木馬は非常に強力な脅威であり、ブラジルとメキシコのユーザーはこの厄介な脅威に非常に注意する必要があります。ただし、これは、攻撃者がいつでもMispaduトロイの木馬を変更し、他の国にその範囲を拡大できるため、世界中のユーザーが安全であることを意味するものではありません。
