ESET研究人员发现一种新型银行木马正试图窃取一名拉美用户的财务信息，该木马是通过使用假麦当劳优惠券进行诱骗和恶意垃圾邮件活动传播的。

ESET研究团队发现了这种新型木马，并将其命名为Mispadu。Mispadu这种无文件恶意程序与其他拉丁美洲银行木马（例如Amavaldo和Casbaneiro）相似，他们都是在Delphi中开发的，并使用自定义加密算法来混淆其源代码。

该银行木马专门用于攻击巴西和墨西哥的用户，针对不同的国家地区目标具有专门的变体，安装程序以及后续手段。

以假麦当劳折扣券为诱饵

该木马的传播方式主要是利用垃圾邮件或恶意Facebook广告传播虚假的麦当劳折扣券，这些垃圾邮件和恶意Facebook广告再将感染用户转到提供麦当劳优惠券的攻击者控制的网站。

然后，感染用户必须单击一个按钮生成优惠券，但实际上，按钮背后是一个已归档的MSI安装程序，攻击者利用该程序启动解压程序脚本，该脚本可以解密并运行捆绑的下载程序模块，最后该程序模块反过来可以从远程服务器中检索加载程序。

该加载程序将删除Mispadu的配置文件，加密的银行木马负载和在感染系统上运行恶意软件的注入程序DLL。

在感染链的最后一步，加载程序脚本将在启动文件夹中添加一个链接，并开始注入程序，该注入程序自动解密并运行上一步中下载的加密有效负载。

ESET说，“加载程序脚本比前两个步骤要复杂。它是有特定语言环境，它检查感染设备的语言标识符来验证它确实是攻击者的目标国家（巴西或墨西哥） “。

“它也可以检测某些虚拟环境。如果检测到虚拟环境或找不到所需的语言环境，则加载程序会自动退出。”

ESET在使用恶意Google Chrome扩展程序时也发现了Mispadu，它欺骗用户这是用来保护Chrome Web浏览器，而不是借三个JavaScript文件来感染目标系统的。

窃取凭据和敏感信息

成功感染设备之后，Mispadu就会使用虚假的弹出窗口，引诱用户泄露敏感信息，就像Casbaneiro和Amavaldo 木马一样。

Mispadu的主要目标是窃取设备和系统信息，例如常见的已安装的拉丁美洲银行应用程序列表和安全产品列表。

该恶意软件还从多种Web浏览器和电子邮件客户端中提取凭据，包括但不限于Google Chrome，Mozilla Firefox，Internet Explorer，Microsoft Outlook，Mozilla Thunderbird和Windows Live Mail。

Mispadu还具有Clipper功能，因为它能用自己的钱包替换所有其他的比特币钱包。ESET表示，到目前为止，它尚未盗取任何加密货币资金。

携带Mispadu的Chrome扩展程序组件还可以在一系列硬编码网站中，从输入表单字段中抓取、收集信用卡数据。

恶意Chrome扩展程序还内置了以下功能：从硬编码网站的网站中抓取、收集银行信息，并将Boleto支付系统生成的支付票证上的ID号替换为Mispadu背后攻击者控制的信息。

研究人员说：“Mispadu具有后门功能，它可以截屏，模拟鼠标和使用键盘。它可以下载并运行Visual Basic脚本（VBS）文件进行自动更新。”

ESET在发布的报告《Mispadu：一条并不让人开心的折扣餐券广告》文末列出的一系列IOC，其中包括恶意软件样本SHA-1哈希值和银行木马使用的服务器地址。

*参考来源：Bleepingcomputer，转载请注明来自FreeBuf.COM