זהירות: Mispadu - נוזקה לגניבת נתונים בנקאיים מופצת ע"י פרסומות בפייסבוק
מאת:
מערכת Telecom News, 20.11.19, 11:30
גם פרסומות בפייסבוק למקדונלד'ס יכולות להדביק אתכם בנוזקות. כיצד הקמפיין הזדוני עובד?
חברת אבטחת המידע
ESET זיהתה נוזקה טרויאנית חדשה הפוגעת בקורבנות באמצעות פרסומת קופצת (
Pop-up) מזויפת, שאמורה לגנוב מהמותקפים מידע אישי ופיננסי.
הנוזקה כוללת פונקציות של דלת אחורית, ומאפשרת ביצוע של צילומי מסך, הדמיה של שימוש בעכבר והמקלדת ותיעוד הקלדות של המשתמש (
Keylogger).
הנוזקה נצפתה מופצת הן כספאם והן באמצעות פרסום זדוני.
כיצד הקמפיין הזדוני עובד?
פרסומות זדוניות ממומנות בפייסבוק מציעות קופונים מזוייפים למקדונלד'ס ומפתות את הנחשפים להן להקליק על קופון המפנה את הקורבן לעמוד זדוני הכולל קובץ
ZIP המכיל קובץ התקנה
MSI המתחזה לקופון הנחה להורדה.
הפרסום בפייסבוק שהופץ כ"קופונים למקדונלד'ס" כדי למשוך לאתרים זדוניים:
ברגע שהקורבן מוריד את הקובץ ומפעיל אותו, מופעלים 3 סקריפטים המובילים להורדה והפעלה של הנוזקה הבנקאית
Mispadu. הנוזקה משתמשת ב-4 אפליקציות המתחזות לעותקים של תוכנה לגיטימית כדי לגנוב מהקורבן סיסמאות מדפדפנים ומתוכנות דואר אלקטרוני.
אתרים זדוניים שמציעים קופונים מזוייפים:
Mispadu גם מנטרת את הזיכרון במחשב. כך, שבמידה והקורבן מעתיק את המזהה של ארנק הביטקוין שלו, היא תחליף אותו לחשבון הביטקוין של התוקף .כך שהקורבן יעביר למעשה את המטבעות הווירטואליים לחשבון התוקף.
דרך נוספת להפצת הנוזקה נצפתה באמצעות תוסף כרום זדוני המבקש "להגן על הכרום" אך במקום זאת הוא גונב פרטי אשראי ומידע בנקאי ואפילו יכול להתגבר על מערכת תשלומים פופולרית בשם בולטו (
Boleto) בכך, שהוא מחליף ברקוד לגיטימי של מערכת התשלומים בברקוד מפנה לחשבון של התוקף.
התוסף הזדוני לדפדפן כרום שכביכול "מאבטח את כרום":
אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע
ESET ישראל: "הפצה של נוזקות באמצעות פרסומות היא אינה חדשה בשום צורה, אבל קיימת נטיה לאנשים לסמוך יותר על אתרים של רשתות חברתיות או אתרים גדולים אחרים, וכך גם ללחוץ על פרסומות הקופצות בהם ללא מחשבה נוספת.
במיוחד בחודש נובמבר של הקניות והמבצעים חשוב לזכור, שפרסומות עלולות תמיד להפנות אותנו לאתרים מתחזים או זדוניים. מומלץ להשתמש בתוסף לדפדפן החוסם פרסומות, ולהקפיד להשתמש בתוסף מוכר עם משתמשים רבים. בנוסף חשוב להשתמש בתוכנת הגנה, שתדע להגן עלינו גם אם נגיע לאתר מתחזה או זדוני דרך פרסומת מפתה הקופצת לנו בזמן הגלישה".
