ESET, 1er éditeur européen en solutions de cybersécurité , annonce avoir identifié en Amérique latine un cheval de Troie bancaire appartenant à une nouvelle famille de malwares inconnue jusqu’à présent : Mispadu. Similaire aux familles de malwares Amavaldo et Casbaneiro récemment mises en lumière dans le cadre des recherches d’ESET dans cette région, Mispadu repose sur le langage Delphi et cible ses victimes à l’aide de fenêtres pop-up malveillantes qui incitent les utilisateurs à renseigner leurs informations personnelles et leurs identifiants. Ce cheval de Troie bancaire sévit principalement au Brésil et au Mexique et dispose de fonctionnalités de backdoor, de capture d’écran, de simulation des actions des claviers et des souris, et même d’enregistrement des frappes.
Les chercheurs d’ESET ont identifié deux méthodes de distribution à l’échelle de la famille Mispadu : les spams, très utilisés par les chevaux de Troie bancaires en Amérique latine, et les publicités malveillantes, beaucoup plus rares. Les cybercriminels employant Mispadu diffusent des publicités payées sur Facebook offrant aux utilisateurs des bons de réduction McDonald’s. En cliquant sur ces publications, les victimes sont redirigées vers une page malveillante qui les invite à télécharger leurs bons au format ZIP : en réalité, cette archive ZIP contient un programme d’installation MSI. Lorsque cet exécutable est lancé, trois scripts sont déployés pour initier le téléchargement et l’exécution du cheval de Troie Mispadu. Ce dernier utilise ensuite quatre applications potentiellement indésirables (des versions modifiées de logiciels inoffensifs) pour extraire les identifiants utilisateurs stockés dans les navigateurs Web et les clients de messagerie.
Au Brésil, Mispadu se présente aussi sous forme d’extension Chrome malveillante : derrière son slogan « Protégez votre navigateur », elle tente de dérober les numéros de carte de paiement et les coordonnées bancaires des victimes. Elle est même capable de compromettre Boleto, un système de paiement national très répandu basé sur des coupons à code-barre. Il s’agit là de la fonctionnalité la plus avancée de la famille Mispadu : en effet, le malware est capable de remplacer le code-barre initial du coupon Boleto par un code-barre affecté au compte bancaire du cybercriminel, généré grâce à l’utilisation malveillante d’un site inoffensif.
Pour en savoir plus, consultez notre billet sur WeLiveSecurity : Mispadu: advertisement for a discounted Unhappy Meal
CONTACT PRESSE
Darina SANTAMARIA : +33 01 86 27 00 39 - - darina.j@eset-nod32.fr