Cupom de promoção do McDonald´s é golpe

A ESET , empresa líder em detecção de vírus identificou um golpe utilizando cupom de desconto do McDonald´s, que teve 100 mil acessos no Brasil. O trojan bancário Mispadu afeta principalmente usuários da América Latina. Até agora, o Brasil e o México foram os países mais atingidos por esse novo malware. A empresa informa que os golpistas instalam no celular das vítimas programas que gravam usos de senhas e contas bancárias.

Como o anúncio falso segmentado para o Brasil usou o encurtador de URL Tiny.CC, a ESET conseguiu identificar que a campanha produziu quase 100.000 cliques exclusivamente do país.

Os cliques do Android provavelmente são o resultado da exibição do anúncio no Facebook, independentemente do dispositivo do usuário.

Além disso, a campanha é recorrente: uma fase terminou na segunda metade de setembro de 2019 e emergiu novamente no início de outubro de 2019.

Semelhante a outras famílias de cavalos de troia recentemente identificadas pela ESET, como Amavaldo ou Casbaneiro , o Mispadu é escrito pela linguagem de programação Delphi, e procura as vítimas por meio de pop-ups falsos, que tentam convencer os usuários a enviar seus dados e credenciais pessoais. Este trojan contém um backdoor que faz capturas de tela, simula as ações do cursor do mouse e do teclado, como também registra as teclas que são pressionadas.

Anúncio falso

O Laboratório de Pesquisa ESET observou dois métodos diferentes de distribuição do Mispadu: um por meio de spam e outro através de anúncios falsos, o malvertising . Nesse caso, os cibercriminosos colocam anúncios no Facebook oferecendo cupons falsos no McDonald’s. Depois de clicar no anúncio, a vítima acessa um site mal-intencionado, no qual pode baixar um arquivo compactado no formato ZIP, que contém o instalador do MSI, camuflado como um cupom de desconto. Se for baixado e executado, começa uma série de três scripts que termina com o download e a ação do trojan bancário Mispadu. O malware usa quatro aplicativos potencialmente indesejados, todos eles são cópias modificadas de softwares legítimos, com o objetivo de extrair as credenciais armazenadas de e-mails e navegadores do usuários infectados.

No Brasil, a ESET observou que o Mispadu distribui uma extensão do Google Chrome que propõe às vítimas “proteção ao navegador”. No entanto, o que ele realmente faz é roubar dados bancários e cartões de crédito on-line, o que compromete até o boleto bancário. O componente Ticket que está contido no Mispadu é um dos recursos mais avançados, pois substitui o código de barras legítimo em um boleto por outro vinculado à conta bancária de cibercriminosos.