Cyberthreat.id- Trojan perbankan, Mispadu, dilaporkan telah menggunakan taktik iklan palsu McDonalds yang bertujuan mencuri data kartu pembayaran dan informasi perbankan online. Trojan ini menargetkan pengguna di Brasil dan Meksiko, dengan menggunakan jendela sembul dan berisi fungsi backdoor.

Menurut peneliti ESET, Mispadu menyebar melalui email dan juga iklan bersponsor di Facebook. Iklan Ini menawarkan kupon diskon palsu untuk McDonalds, bunyinya : “Gunakan mereka pada hari apa pun di bulan September! Kupon kemerdekaan. Dapatkan milikmu sekarang.”

Jika seseorang mengklik iklan, mereka akan dibawa ke situs web McDonalds palsu dengan tombol yang mengatakan, "Saya ingin! Atau Buat kupon." Dengan mengklik iklan ini,  pengguna diarahkan untuk mengunduh arsip ZIP ke mesin korban yang berisi penginstal MSI.

Dukutip dari ThreatPost, Rabu, (20 November 2019), penginstal MSI menetapkan Visual Basic Script (skrip VBS) yang  diakhiri dengan loader, yang memeriksa pengidentifikasi bahasa target untuk memverifikasi bahwa ia memang berlokasi di Brasil atau Meksiko, serta mengatur file konfigurasi, menghubungkan ke server C&C, dan mengunduh trojan perbankan.

"Kami percaya keluarga malware ini menargetkan masyarakat umum. Tujuan utamanya adalah pencurian keuangan dan kredensial,” tulis peneliti ESET.

Adapun fungsi backdoor-nya, Mispadu dapat mengambil screenshot, mensimulasikan tindakan mouse dan keyboard, dan menangkap penekanan tombol.

Dengan demikian, skema ini mampu  mengumpulkan informasi sidik jari komputer tentang mesin korbannya, dan memeriksa untuk melihat apakah Diebold Warsaw GAS Tecnologia diinstal.

“Ini juga tentu saja memonitor aplikasi perbankan yang diinstal, dan juga memantau konten clipboard dan mencoba mengganti dompet bitcoin potensial dengan miliknya sendiri,” jelas para peneliti.

Para peneliti menambahkan, eksekusi trojan perbankan ini dilengkapi dengan empat aplikasi yang mungkin tidak diinginkan disimpan di bagian sumber dayanya.

“Semua aplikasi ini adalah file yang sah dari Nirsoft, tetapi telah ditambal untuk dijalankan dari baris perintah tanpa GUI. Mereka digunakan oleh malware untuk mengekstraksi kredensial yang disimpan dari browser (Google Chrome, Mozilla Firefox, Internet Explorer), dan klien email (Microsoft Outlook, Mozilla Thunderbird, dan Windows Live Mail),” jelas peneliti.

Para peneliti ESET juga menemukan bahwa tujuan ekstensi adalah untuk mencuri informasi kartu pembayaran dan data perbankan yang sensitif, tetapi juga untuk mencuri uang dari para korbannya dengan mengkompromikan sistem pembayaran online Boleto.

Dalam analisisnya, ESET menemukan bahwa kampanye ini telah menghasilkan 100.000 klik di Brasil, di seluruh platform desktop dan seluler. Upaya ini berulang, dan terlihat pada  September 2019, dan kemudian terjadi lagi pada awal Oktober 2019.

"Klik yang berasal dari Android kemungkinan besar merupakan hasil dari kenyataan bahwa iklan ditampilkan di Facebook terlepas dari perangkat pengguna," kata para peneliti.

Tidak hanya itu, para peneliti juga  menemukan bahwa trojan Mispadu terus berkembang.

"Kami menemukan direktori terbuka di salah satu server yang digunakan Mispadu, dan file yang terhubung ke kampanye yang sangat mirip disimpan di sana," kata peneliti.

“File-file itu dapat digunakan untuk membuat halaman web yang meniru AreaVIP (situs web tabloid di Brasil) dan untuk memaksa pembaruan Adobe Flash Player palsu pada calon korbannya. Kami belum mengamati kampanye itu di alam liar dan percaya itu mungkin merupakan persiapan untuk masa depan,” jelas peneliti.