Mispadu โทรจันธุรกรรมในละตินอเมริกา ใช้แบรนด์ McDonald ในการโฆษณาและแพร่กระจายการโจมตีเบราว์เซอร์
เราเชื่อว่ามัลแวร์ตัวนี้มีเป้าหมายเป็นเงินและข้อมูลสำคัญของผู้ใช้ ในบราซิลเราพบ Extension ของ Google Chrome ที่ขโมยข้อมูลบัตรเครดิต/เดบิต และข้อมูลทางการเงิน ผ่านระบบ Boleto Payment System
เป้าหมายของ Mispadu เป็นผู้ใช้ในบราซิลและเม็กซิโก โดยใช้ป๊อปอัพเพื่อหลอกให้ผู้ใช้คลิกหรือกรอกข้อมูลสำคัญลงไป
แฮกเกอร์ลงโฆษณาบน Facebook เป็นคูปองลดราคาปลอม โดยใช้แบรนด์ของ McDonald
เมื่อคลิกที่โฆษณาผู้ใช้จะถูกพาไปยังหน้าเว็บไซต์ด้านล่างนี้ และเพื่อกดปุ่มบนหน้าเว็บไซต์จะเป็นการดาวน์โหลดไฟล์ ZIP ที่ประกอบด้วย MSI Installer และมีซอฟต์แวร์อื่นๆ อย่าง Mozilla Firefox หรือ PuTTY เป็นตัวหลอก
ตัว Mispadu มี backdoor ที่สามารถถ่ายภาพหน้าจอ ใช้งานเม้าส์และคีย์บอร์ด และเก็บข้อมูลการใช้งานคีย์บอร์ด นอกจากนี้ยังสามารถอัพเดตตัวเองผ่าน Visual Basic Script (VBS) ที่สามารถดาวน์โหลดและเริ่มทำงาน
โดน Mispadu เก็บข้อมูลของเหยื่อดังนี้:
- เวอร์ชั่นของระบบปฏิบัติการ
- ชื่อเครื่องคอมพิวเตอร์
- ภาษา
- ตรวจสอบว่ามีการติดตั้ง Diebold Warsaw GAS Tecnologia (แอปพลิเคชั่นรักษาความปลอดภัยการทำธุรกรรมออนไลน์)
- รายชื่อแอปพลิเคชั่นสำหรับทำธุรกรรม
- รายชื่อโปรแกรมรักษาความปลอดภัย
Extension ในเบราว์เซอร์เป็นช่องทางหนึ่งที่มัลแวร์แทรกซึมและทำงานอย่างลับๆบนคอมพิวเตอร์ของเรา การจัดการกับ Extension ที่เราไม่ได้ใช้งาน รวมถึงไม่ดาวน์โหลด Extension ที่น่าสงสัยโดยเฉพาะที่มาจากแหล่งที่ไม่เป็น Official
Author: ESET Research
Source: https://www.welivesecurity.com/2019/11/19/mispadu-advertisement-discounted-unhappy-meal/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
Mispadu โทรจันธุรกรรมในละตินอเมริกา ใช้แบรนด์ McDonald ในการโฆษณาและแพร่กระจายการโจมตีเบราว์เซอร์
เราเชื่อว่ามัลแวร์ตัวนี้มีเป้าหมายเป็นเงินและข้อมูลสำคัญของผู้ใช้ ในบราซิลเราพบ Extension ของ Google Chrome ที่ขโมยข้อมูลบัตรเครดิต/เดบิต และข้อมูลทางการเงิน ผ่านระบบ Boleto Payment System
เป้าหมายของ Mispadu เป็นผู้ใช้ในบราซิลและเม็กซิโก โดยใช้ป๊อปอัพเพื่อหลอกให้ผู้ใช้คลิกหรือกรอกข้อมูลสำคัญลงไป
แฮกเกอร์ลงโฆษณาบน Facebook เป็นคูปองลดราคาปลอม โดยใช้แบรนด์ของ McDonald
เมื่อคลิกที่โฆษณาผู้ใช้จะถูกพาไปยังหน้าเว็บไซต์ด้านล่างนี้ และเพื่อกดปุ่มบนหน้าเว็บไซต์จะเป็นการดาวน์โหลดไฟล์ ZIP ที่ประกอบด้วย MSI Installer และมีซอฟต์แวร์อื่นๆ อย่าง Mozilla Firefox หรือ PuTTY เป็นตัวหลอก
ตัว Mispadu มี backdoor ที่สามารถถ่ายภาพหน้าจอ ใช้งานเม้าส์และคีย์บอร์ด และเก็บข้อมูลการใช้งานคีย์บอร์ด นอกจากนี้ยังสามารถอัพเดตตัวเองผ่าน Visual Basic Script (VBS) ที่สามารถดาวน์โหลดและเริ่มทำงาน
โดน Mispadu เก็บข้อมูลของเหยื่อดังนี้:
Extension ในเบราว์เซอร์เป็นช่องทางหนึ่งที่มัลแวร์แทรกซึมและทำงานอย่างลับๆบนคอมพิวเตอร์ของเรา การจัดการกับ Extension ที่เราไม่ได้ใช้งาน รวมถึงไม่ดาวน์โหลด Extension ที่น่าสงสัยโดยเฉพาะที่มาจากแหล่งที่ไม่เป็น Official
Author: ESET Research
Source: https://www.welivesecurity.com/2019/11/19/mispadu-advertisement-discounted-unhappy-meal/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: