Sebuah keluarga malware baru mulai unjuk gigi dan menyerang secara mengejutkan. Malwar eini menargetkan masyarakat umum dengan tujuan utamanya adalah pencurian moneter dan kredensial. ESET telah melihat aksi malware berbahaya ini saat mengirimkan ekstensi Google Chrome yangberupaya mencuri data kartu kredit dan data perbankan online serta mengganggu sistem pembayaran Boleto.
Trojan ini ESET beri nama Mispadu, sebuah trojan perbankan ambisius yang memanfaatkan malvertising McDonald dan memperluas permukaan serangannya ke browser web. Malware Ini ditulis dalam Delphi dan menyerang korbannya menggunakan metode menampilkan jendela pop-up palsu dan mencoba membujuk korban potensial untuk membocorkan informasi sensitif.
Untuk fungsi backdoor-nya, Mispadu dapat mengambil screenshot, mensimulasikan tindakan mouse dan keyboard, dan menangkap penekanan tombol. Itu dapat memperbarui dirinya sendiri melalui file Visual Basic Script (VBS) yang diunduh dan dieksekusi.
Seperti halnya trojan perbankan lainnya, Mispadu juga mengumpulkan informasi tentang para korbannya, yaitu:
- Versi OS
- nama komputer
- ID bahasa
- Diebold Warsaw GAS Tecnologia, aplikasi yang populer untuk melindungi akses ke perbankan online
- Daftar aplikasi perbankan yang diinstal
- Daftar produk keamanan yang diinstal
Seperti dalam kasus Amavaldo dan Casbaneiro, Mispadu juga dapat diidentifikasi dengan penggunaan algoritma kriptografi khusus dan unik untuk mengaburkan string dalam kode. Ini digunakan di semua komponen, serta untuk melindungi file konfigurasinya dan komunikasi C&C.
Executable trojan perbankan dilengkapi dengan empat Potentially Unwanted Applications (PUA) disimpan di bagian sumber dayanya. Semua aplikasi ini merupakan file yang sah dari Nirsoft, tetapi telah ditambal untuk dijalankan dari baris perintah tanpa GUI. Mereka digunakan oleh malware untuk mengekstraksi kredensial yang disimpan dari:
- Browser (Google Chrome, Mozilla Firefox, Internet Explorer), dan
- Klien email (antara lain Microsoft Outlook, Mozilla Thunderbird, dan Windows Live Mail).
Mispadu juga memantau konten clipboard dan mencoba mengganti dompet bitcoin potensial dengan miliknya, seperti yang dilakukan Casbaneiro. Namun, dari memeriksa dompet penyerang, hingga saat ini belum terlalu berhasil.
Metode penyebaran
Mispadu menggunakan dua metode distribusi: spam dan malvertising. Meskipun metode yang pertama sangat umum untuk trojan perbankan, yang terakhir tidak, jadi mari kita lihat lebih dekat. bagaimana serangan Mispadu terbuka.
Pelaku menempatkan iklan bersponsor di Facebook yang menawarkan kupon diskon palsu untuk McDonald’s. Mengklik iklan membawa korban potensial ke salah satu laman web yang mereka siapkan. Terlepas dari OS pengunjung, mengklik tombol di sana mengarah untuk mengunduh arsip ZIP yang berisi instaler MSI. Kadang-kadang, arsip ini juga berisi perangkat lunak yang sah seperti Mozilla Firefox atau PuTTY, tetapi mereka hanyalah umpan dan tidak digunakan sama sekali.
Operator Mispadu menyusun dua versi berbeda dari trojan perbankan berdasarkan negara yang diserang. Selain itu, mereka memutuskan untuk menggunakan installer dan tahapan yang berbeda untuk setiap negara yang diserang. Namun, pada dasarnya logika kedua rantai serangan tersebut sama saja.
Baik email spam maupun situs web McDonald palsu menarik dalam satu aspek lagi: dari mana kupon palsu diunduh. Operator Mispadu menyalahgunakan platform Yandex.Mail Rusia untuk menyimpan muatan mereka. Skenario yang paling mungkin adalah bahwa operator membuat akun di Yandex.Mail, mengirim email dengan kupon jahat sebagai lampiran untuk diri mereka sendiri dan kemudian mengarahkan calon korban ke tautan langsung ke lampiran ini.
Komponen serangan
Hati-hati dengan ekstensi peramban Google Chrome berbahaya yang ESET telah amati didistribusikan bersama-sama dengan trojan perbankan Mispadu. Ekstensi ini secara persuasif menyatakan berfungsi melindungi browser Chrome yang terdiri dari tiga file JavaScript berbahaya sebagai berikut:
Komponen 1: Memanipulasi windows
Komponen sederhana ini hanya memiliki satu fungsi: komponen ini menciptakan jendela Google Chrome baru dan menutup yang lainnya. Komponen ini tidak ada di semua sampel yang kami analisis dan kami yakin itu masih dalam tahap pengujian.
Komponen 2: Mencuri data kartu kredit
Komponen kedua berisi daftar situs web hardcoded. Di halaman yang disajikan dari situs-situs ini, ia mencari bidang input yang berisi “teks”, “email”, “tel”, “nomor”, “kata sandi” atau “radio”. Jika “CVV”, “CÓD SEG” atau variannya ditemukan di mana saja di situs web, konten dari bidang input tersebut dikirim ke peretas ketika korban mengirimkan informasi. Ini dengan jelas mengungkapkan maksud dari bagian ini adalah pencurian data kartu kredit.
Komponen 3: Mencuri data perbankan dan Boleto
Komponen ketiga adalah yang paling canggih. Pertama, menggunakan algoritma seperti DGS, ia menghasilkan dua string berdasarkan pada hari ini bulan dan jumlah bulan. String-string tersebut kemudian digunakan untuk membentuk URL GitHub.
Komponen ini juga berisi daftar situs web yang ditargetkan dengan kode sandi, seperti yang dilakukan sebelumnya. Jika korban mengunjungi salah satu situs web ini, file JavaScript berbahaya khusus untuk situs web tersebut diperoleh dari URL payload dan dimuat secara dinamis melalui fungsi eval JavaScript.
Selain itu, komponen ini juga berupaya untuk mengkompromikan penggunaan Boleto, sistem pembayaran populer di Brasil. Sistem ini telah menjadi target yang menarik bagi peretas untuk waktu yang lama. Berisi nomor ID khusus untuk rekening bank yang harus menerima pembayaran, dan barcode. Pembayaran kemudian dilakukan dengan memindai kode batang atau mengetik nomor ID secara manual.
