Siber güvenlik kuruluşu ESET, kurbanlarını sahte Facebook reklamlarıyla aldatmaya çalışan bankacılık truva atı Mispadu’yu tespit etti. Mispadu, fast food devi McDonald‘s’ın adını istismar ederek, sahte indirim kuponları yoluyla kişilerin kimlik bilgilerine ulaşmaya çalışıyor.
Latin Amerika ülkelerinde kısa bir süre önce ESET tarafından tespit edilen Arnavaldo ve Casbaneiro truva atlarından sonra ESET uzmanları aynı bölgede bu kez de Mispadu bankacılık truva atını belirledi.
Basılan tuşları kaydedebiliyor
Mispadu, diğer truva atlarına benzer şekilde olası kurbanlarını, kişisel detaylarını ve kimlik bilgilerini paylaşmaları için ikna etmeye çalışan sahte açılır pencereler kullanıyor. Ağırlıklı olarak Brezilya ve Meksika’da görülen Mispadu bankacılık truva atı, arka kapı işlevine sahip olmakla birlikte ekran görüntüleri alabiliyor, fare ve klavye eylemlerini taklit edebiliyor ve basılan tuşları kaydedebiliyor.
Diğer Latin Amerika bankacılık trojanlarında olduğu gibi, Mispadu da kurbanları hakkında bilgi toplar. Topladığı bilgiler şunlardır;
- OS sürümü
- Bilgisayar adı
- Dil kimliği
- Diebold Warsaw GAS Tecnologia (çevrimiçi bankacılık erişimini korumak için Brezilya’da popüler bir uygulama) kurulup kurulmadığı
- Yüklü olan Latin Amerika bankacılık uygulamaları listesi
- Kurulu güvenlik ürünlerinin listesi
Sahte McDonald’s indirim kuponlarını yem olarak kullanıyor
ESET araştırma ekibi, e-postalar ve kötü amaçlı reklamlar olmak üzere Mispadu’nun iki farklı dağıtım yöntemi kullandığını belirledi. Latin Amerika kökenli bankacılık truva atları arasında istenmeyen e-posta kullanımı yaygın olsa da kötü amaçlı reklam kullanımı oldukça nadirdir.
Mispadu’yu dağıtan spam e-postalarına örnekler. Brezilya’yı hedef alan (solda), alıcının üç paketinin adresinde bulunamadığı için teslim edilemediği ve geri ödeme almak için URL’yi izlemesi gerektiğini iddia ediyor. Meksika’yı hedef alan (sağ), alıcıdan hesabının bloklanmasını önlemek için bir fatura indirmesini ister.
Mispadu’nun arkasındaki siber saldırganlar, Facebook’a sahte McDonald’s indirim kuponları sunan, sponsorlu reklamlar yerleştiriyor. Olası kurban reklama tıkladığında, içinde indirim kuponu görünümlü bir MSI yükleyicinin yer aldığı bir ZIP dosyası barındıran kötü amaçlı bir web sayfasına yönlendiriliyor. İndirilip yürütülmesi halinde bu dosyayı üç komut dosyasından oluşan bir zincir takip ediyor ve sonuçta Mispadu bankacılık truva atı indirilip çalıştırılmış oluyor.
Mispadu operatörleri tarafından oluşturulan Facebook reklamları sahte McDonald’s kuponları içeriyor. (reklam başlığının çevirisi: “Herhangi bir Eylül gününde kullanın! İndirim kuponları. Şimdi sizinkini alın”)
Bu truva atının en gelişmiş özelliği…
Brezilya’da Mispadu’nun ilginç ve kötü amaçlı Google Chrome uzantısı dağıttığı da görülüyor. Uzantı “Chrome’unuzu Koruyacağını” iddia ediyor ama bunun yerine kredi kartı ve online bankacılık verilerinizi çalmaya çalışıyor ama bununla da bitmiyor. Brezilya’da havale yapmak için barkod tabanlı bilet sistemi kullanan popüler ödeme sistemi Boleto’nun güvenliğini bile aşabiliyor. Yasal bir sitenin suistimal edilmesiyle üretilen, saldırganın banka hesabına bağlı bir Boleto biletindeki yasal barkodun yerini alması nedeniyle, Mispadu kötü amaçlı yazılım saldırısının en gelişmiş özelliği Boleto bileşeni olarak kabul ediliyor.
Mispadu tarafından yüklenen kötü amaçlı Google Chrome uzantısı
Brezilya’yı hedefleyen Mispadu kampanyası Tiny.CC URL kısaltıcısını kullandığından, Eset araştırmacıları istatistik toplayabildi. Şekilde görüldüğü gibi, bu kampanya yalnızca Brezilya’dan neredeyse 100.000 tıklama elde etti. Android kaynaklı tıklamalar büyük olasılıkla kullanıcının cihazından bağımsız olarak reklamın Facebook’ta gösterilmesinin sonucudur. Ayrıca kampanyanın tekrarlandığını da görebilirsiniz, birinci aşama Eylül 2019’un ikinci yarısında sona erdi ve 2019 Ekim’in başında yeniden ortaya çıktı.
Eset Siber Güvenlik Araştırmacıları tarafından hazırlanan rapora https://www.welivesecurity.com/2019/11/19/mispadu-advertisement-discounted-unhappy-meal/ adresinden ulaşabilirsiniz.