A ESET identificou ataques do trojan bancário Mispadu utilizando cupons falsos do McDonald's. O vírus gerou quase 100 mil cliques. O trojan contém um backdoor que faz capturas de tela, simula as ações do cursor do mouse e do teclado, como também registra as teclas que são pressionadas.
A campanha é recorrente: uma fase terminou na segunda metade de setembro de 2019 e emergiu novamente no início de outubro de 2019, segundo a ESET. O golpe consiste em usar anúncios da falsa oferta no Facebook que redirecionam a vítima a um site mal-intencionado, onde ocorre o download do malware.
O arquivo baixado está compactado no formato ZIP, que contém o instalador do MSI, camuflado como um cupom de desconto. Se for executado no computador da vítima, começa uma série de três scripts que termina com o download e a ação do trojan bancário Mispadu.
O malware usa quatro aplicativos potencialmente indesejados, todos eles são cópias modificadas de softwares legítimos, com o objetivo de extrair as credenciais armazenadas de e-mails e navegadores do usuários infectados.
No Brasil, a ESET observou que o Mispadu distribui uma extensão do Google Chrome que propõe às vítimas "proteção ao navegador". No entanto, o que ele realmente faz é roubar dados bancários e cartões de crédito on-line, o que compromete até o boleto bancário. O componente Ticket que está contido no Mispadu é um dos recursos mais avançados, pois substitui o código de barras legítimo em um boleto por outro vinculado à conta bancária de cibercriminosos.
