¡Atención! Troyano Mispadu en anuncios falsos de McDonald’s en Facebook

El equipo de investigación de ESET ha observado dos métodos diferentes de distribución de Mispadu: uno mediante spam y el otro a través de anuncios falsos

Publicado el 20 Nov 2019

Businessman hands hold a magnifying glass found trojan horse malware computer virus on laptop computer. Vector illustration technology data privacy and security concept.

ESET ha identificado al troyano bancario Mispadu, que está afectando sobre todo a usuarios en Latinoamérica. De características similares a otras familias de troyanos identificadas recientemente por ESET, como Arnavaldo o Casbaneiro, Mispadu está escrita en Delphi y busca víctimas mediante el uso de ventanas emergentes falsas que intentan convencer a los usuarios para que envíen sus datos personales y sus credenciales. El troyano, que está afectando sobre todo a Brasil y a México, contiene una puerta trasera que toma capturas de pantalla, simula el puntero del ratón y acciones de teclado y registra las teclas pulsadas.

El equipo de investigación de ESET ha observado dos métodos diferentes de distribución de Mispadu: uno mediante spam y el otro a través de anuncios falsos (malvertising). El spam es una técnica muy utilizada en Latinoamérica para distribuir troyanos bancarios, pero los anuncios falsos no son tan comunes. Los ciberdelincuentes colocan anuncios en Facebook ofreciendo cupones falsos de descuento en McDonald’s. Una vez que se pincha sobre el anuncio, la víctima accede a una web maliciosa en la que se puede descargar un archivo comprimido en formato ZIP que contiene el instalador MSI, camuflado como un cupón de descuento. Si se descarga y se ejecuta, se inicia una cadena de tres scripts que concluye con la descarga y ejecución del troyano bancario Mispadu. El troyano utiliza cuatro aplicaciones potencialmente no deseadas, todas ellas copias modificadas de software legítimo, para extraer las credenciales almacenadas de los clientes de correo y de los navegadores web del usuario infectado.

En Brasil, además, se ha observado a Mispadu distribuyendo una interesante extensión de Google Chrome. La extensión propone “Proteger su navegador Chrome”, pero lo que hace en realidad es robar los datos de banca online y de las tarjetas de crédito, llegando incluso a comprometer Boleto, un sistema de pago muy popular en Brasil y que utiliza un sistema de ticketing basado en código de barras para transferir pagos. El componente de Boleto en Mispadu es una de las funcionalidades más avanzadas, ya que reemplaza el código de barras legítimo en un ticket de Boleto con otro vinculado a la cuenta bancaria de los ciberdelincuentes.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados