Nepkortingsbonnen McDonalds leiden naar bankmalware

Gepubliceerd op 25 november 2019 om 19:59
Nepkortingsbonnen McDonalds leiden naar bankmalware

Facebook-advertenties opgezet door de Mispadu-exploitanten

Facebook gebruikers zijn gewaarschuwd voor zogenaamde kortingsbonnen van 'McDonalds' die via het platform worden aangeboden. In plaats van een korting op een Big Mac, wacht er een infectie met bankmalware, die gegevens voor internetbankieren onderschept. Dat meldt antivirusbedrijf ESET.

Mispadu

'Mispadu', een ambitieuze Latijns-Amerikaanse bank-trojan die gebruik maakt van McDonald's malvertising en zijn aanvalsoppervlak uitbreidt naar webbrowsers.
Deze malware-familie richt zich op het grote publiek. De belangrijkste doelen zijn diefstal van geld en geloofsbrieven. In Brazilië hebben we gezien dat het een kwaadaardige Google Chrome-extensie distribueert die probeert creditcardgegevens en online bankgegevens te stelen en dat het Boleto-betalingssysteem in gevaar brengt.

Mispadu's distributie- en uitvoeringsketen

Mispadu is een malware-familie, geïdentificeerd tijdens ons onderzoek naar Latijns-Amerikaanse bank-trojaanse paarden, dat zich richt op Brazilië en Mexico. Het is geschreven in Delphi en valt zijn slachtoffers aan met behulp van dezelfde methode als de families die eerder in deze serie zijn beschreven: door nep-pop-upvensters weer te geven en te proberen potentiële slachtoffers over te halen gevoelige informatie vrij te geven.

Voor zijn backdoor-functionaliteit kan Mispadu screenshots maken, muis- en toetsenbordacties simuleren en toetsaanslagen vastleggen. Het kan zichzelf updaten via een Visual Basic Script (VBS) -bestand dat het downloadt en uitvoert.

Net als bij de andere Latijns-Amerikaanse bank-trojaanse paarden verzamelt Mispadu ook informatie over zijn slachtoffers, namelijk:

  • OS-versie
  • Computernaam
  • Taal ID
  • Diebold Warsaw GAS Tecnologia (een toepassing die populair is in Brazilië om de toegang tot online bankieren te beschermen) is geïnstalleerd
  • Lijst met geïnstalleerde veelgebruikte Latijns-Amerikaanse bankapplicaties
  • Lijst met geïnstalleerde beveiligingsproducten

Kenmerken

Zoals in het geval van Amavaldo en Casbaneiro, kan Mispadu ook worden geïdentificeerd door het gebruik van een uniek, aangepast cryptografisch algoritme om de tekenreeksen in de code te verdoezelen. Dit wordt gebruikt in alle componenten, evenals om de configuratiebestanden en C & C-communicatie te beschermen.

Het bancaire trojan-uitvoerbaar wordt geleverd met vier potentieel ongewenste toepassingen die zijn opgeslagen in de bronsectie. Deze applicaties zijn allemaal legitieme bestanden van Nirsoft, maar zijn gepatcht om vanaf de opdrachtregel te draaien zonder GUI. Ze worden door de malware gebruikt om opgeslagen referenties te extraheren uit:

  • Browsers (Google Chrome, Mozilla Firefox, Internet Explorer)
  • E-mailclients (onder andere Microsoft Outlook, Mozilla Thunderbird en Windows Live Mail)

Werkwijze

Mispadu controleert ook de inhoud van het klembord en probeert potentiële bitcoin-portefeuilles te vervangen door die van zichzelf, zoals Casbaneiro deed.

De advertenties met de nepkortingsbonnen richten zich vooralsnog alleen op Braziliaanse en Mexicaanse Facebookgebruikers. Zodra gebruikers op de advertenties klikken, worden ze doorgestuurd naar een website waar de "kortingsbonnen" zijn te downloaden. In werkelijkheid wordt er een MSI-bestand aangeboden dat de uiteindelijke malware downloadt en installeert. De malware verzamelt allerlei informatie over het systeem en steelt wachtwoorden uit browsers zoals Google Chrome, Mozilla Firefox en Internet Explorer, en e-mailclients zoals Microsoft Outlook, Mozilla Thunderbird en Windows Live Mail.

Verder vervangt de malware gekopieerde bitcoinadressen in het clipboard om zo cryptovaluta te stelen. Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken, kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer. De nu ontdekte malware verandert het gekopieerde adres in dat van de aanvaller. Verder kan de malware ook toetsaanslagen opslaan.

100.000 clicks

Voor de advertenties die Braziliaanse Facebookgebruikers te zien kregen, maakten de aanvallers gebruik van de Tiny.CC url-verkorter. Deze url-verkorter houdt het aantal clicks bij. Onderzoekers van ESET konden zo achterhalen dat alleen de Braziliaanse advertentiecampagne bijna 100.000 clicks had opgeleverd. Dit zegt echter nog niets over het aantal infecties.

Cryptografisch algoritme

Zoals in het geval van Amavaldo en Casbaneiro, kan Mispadu ook worden geïdentificeerd door het gebruik van een uniek, aangepast cryptografisch algoritme om de tekenreeksen in de code te verdoezelen. Dit wordt gebruikt in alle componenten, evenals om de configuratiebestanden en C & C-communicatie te beschermen. Figuur 1 illustreert de kerncode die dit algoritme implementeert, en figuur 2 pseudocode voor het algoritme.

Pseudocode van Mispadu's algoritme voor het decoderen van gegevens

Controle over het klembord

Mispadu controleert ook de inhoud van het klembord en probeert potentiële bitcoin-portefeuilles te vervangen door die van zichzelf, zoals Casbaneiro deed. Uit onderzoek van de portemonnee van de aanvaller (zie figuur 3) is het tot op heden echter niet erg succesvol geweest.

BRON: welivesecurity

SCHRIJVER: BiG’r

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.