Promoção falsa do McDonald's instala malware e já tem mais de 100 mil cliques

Na última sexta-feira (22), a ESET identificou o trojan bancário Mispadu, que afeta principalmente usuários da América Latina. Até agora, o Brasil e o México foram os países mais atingidos por esse novo malware. A empresa conta que, como o anúncio falso segmentado para o Brasil usou o encurtador de URL Tiny.CC, foi possível identificar quase 100 mil cliques de usuários brasileiros, o que é um provável resultado da exibição do anúncio no Facebook. A empresa ainda explica que o Mispadu é escrito pela linguagem de programação Delphi, e procura as vítimas por meio de pop-ups falsos, que tentam convencer os usuários a enviar seus dados e credenciais pessoais. O trojan contém um backdoor que faz capturas de tela, simula as ações do cursor do mouse e do teclado, e também registra as teclas que são pressionadas.

A empresa detectou um método de distribuição do Mispadu por meio de spam e outro através de anúncios falsos, o malvertising - em que os cibercriminosos colocam anúncios no Facebook oferecendo cupons falsos no McDonald's. Depois de clicar no anúncio, a vítima acessa um site mal-intencionado, no qual pode baixar um arquivo compactado no formato ZIP, que contém o instalador do MSI, camuflado como um cupom de desconto. Se for baixado e executado, começa uma série de três scripts que termina com o download e a ação do trojan bancário Mispadu. O malware usa quatro aplicativos potencialmente indesejados, todos eles são cópias modificadas de softwares legítimos, com o objetivo de extrair as credenciais armazenadas de e-mails e navegadores do usuários infectados.

A ESET observou que o Mispadu distribui uma extensão do Chrome no Brasil que propõe às vítimas "proteção ao navegador", mas acaba roubando dados bancários e cartões de crédito on-line, o que compromete até o boleto bancário. O componente Ticket, que está contido no Mispadu é um dos recursos mais avançados, pois substitui o código de barras legítimo em um boleto por outro vinculado à conta bancária de cibercriminosos.

Além disso, a empresa encontrou também um diretório aberto em um dos servidores usados pelo Mispadu que armazenava arquivos conectados a uma campanha muito semelhante. Esses arquivos podem ser usados para criar uma página da web que imita o site brasileiro AreaVIP e força suas possíveis vítimas a uma atualização falsa do Adobe Flash Player. De acordo com a empresa de segurança, a campanha não está ativa, podendo inclusive ser uma campanha que estava configurada para uso futuro.

Tendo essa situação em mente, a ESET orienta a desconfiar de promoções que surjam por meios de canais não oficiais, pois as empresas geralmente divulgam ofertas e promoções por meio de seus sites ou nas redes sociais. Outras recomendações são evitar clicar em links suspeitos, mesmo que sejam de alguém que você conheça, já que a propagação da campanha é feita entre os contatos da própria vítima, e, instalar uma solução de segurança confiável em cada um dos dispositivos conectados à Internet que você usa.

Fonte: canaltech.com.br