Mispadu to rodzina trojanów bankowych wykrywanych przez ekspertów z Eset na terenie Ameryki Łacińskiej. Ich głównym celem jest kradzież danych logowania do rachunków bankowych oraz manipulacja transakcji wykonywanych przez brazylijski system płatniczy Boleto.
Złośliwe oprogramowanie korzysta z kilku metod dystrybucji. Pierwszą z nich są fałszywe wiadomości e-mail kierowane do Meksykanów i Brazylijczyków. Informują użytkowników albo o nieobecności podczas próby dostarczenia paczki albo opłaceniu zaległej faktury. Cel jest ten sam – nakłonienie użytkownika do kliknięcia w link i pobrania zainfekowanego załącznika.
Na poniższych zrzutach ekranu widoczne są przykłady kampanii phishingowych zawierających trojany z rodziny Mispadu. Pierwszy z lewej pokazuje atak na Brazylijczyków. Informuje ich o braku odbioru paczki i możliwości otrzymania odszkodowania z tego tytułu. Drugi zrzut dotyczy wiadomości wysyłanej do Meksykanów i zachęca do pobrania faktury, by anulować dług.
Druga metoda ataku, na którą narażeni są mieszkańcy Ameryki Łacińskiej, to tzw. malvertising, czyli złośliwe reklamy wyświetlane w popularnych witrynach. Cyberprzestępcy w tym celu wykupili reklamy na Facebooku, które zachęcają użytkowników portalu do odbioru darmowych kuponów na zestawy McDonald's. Po kliknięciu w reklamę następuje przekierowanie do podstawionej strony, na której zamiast kuponów, serwowany jest złośliwy plik, który po uruchomieniu powoduje infekcję.
Złośliwy plik to instalator w formacie MSI, który jest zaszyty w archiwum ZIP. Po uruchomieniu pliku instalacyjnego następuje wieloetapowe działanie złośliwych skryptów. Pierwsza faza działań opiera się na sprawdzeniu, skąd pochodzi użytkownik – jeśli z Meksyku lub Brazylii, to następuje pobranie kolejnych komponentów trojana, by doprowadzić do finalnej infekcji.
Analitycy zauważyli, że w trakcie procesu infekowania komputera trojan może zainstalować złośliwe rozszerzenie do przeglądarki Google Chrome, które potrafi manipulować oknami aplikacji, wykradać wprowadzane dane - loginy, hasła, dane kart płatniczych - oraz dodawać złośliwe skrypty do odwiedzanych stron.
Jak podaje firma Eset, kampania phishingowa wykorzystująca trojany z rodziny Mispadu była aktywna w okresie od września do października 2019 r.
