사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(http://www.estc.co.kr)는 ESET이 이전에알려지지 않은 또다른 맬웨어 Mispadu를 발견했다고 발표했습니다.

Mispadu는 ESET이 최근에 탐지했던 Amavaldo 및 Casbaneiro와 유사하게 Delphi로 작성되었으며 가짜 팝업창을 사용하여 잠재적인 피해자가 자신의 개인정보와 자격증명을 공유하도록 유도합니다. 브라질과 멕시코를 주로 대상으로 하는 Mispadu 뱅킹 트로이목마에는 백도어 기능이 포함되어 있으며 스크린샷을 찍고 마우스 및 키보드 동작을 시뮬레이션하며 키 입력을 캡쳐할 수 있습니다.

ESET 연구팀은 스팸과 악성 광고라는 두 가지 배포 방법을 사용하는 Mispadu 트로이목마 군을 확인했습니다. 전자는 라틴 아메리카 뱅킹 트로이목마에서 일반적이지만 후자는 아주 드뭅니다. Mispadu 뒤의 위협 행위자는 Facebook에 McDonald’s에 대한 가짜 할인쿠폰을 제공하는 스폰서 광고를 게재했고 이 광고를 클릭하면 악성 웹 페이지로 연결되어 할인쿠폰으로 가장한 msi 설치 프로그램이 포함된 zip 파일을 다운로드하게 됩니다. 이 파일을 실행하면 3개의 스크립트 체인을 통해 Mispadu 뱅킹 트로이목마가 다운로드 및 실행됩니다. 이 트로이목마는 정상적인 소프트웨어의 사본을 수정한 잠재적으로 원치 않는 애플리케이션 네 가지를 이용하여 웹 브라우저 및 이메일 클라이언트에서 피해자의 저장된 자격 증명을 추출합니다.

브라질에서는 Mispadu가 흥미롭고 악의적인 Chrome 확장 프로그램을 배포하는 것으로 나타났습니다. 이 확장 프로그램은 “Chrome을 보호하세요”라고 주장하지만 신용카드 및 온라인 뱅킹 데이터를 도용하려는 시도를 하며 바코드 기반 발권 시스템을 사용하여 결제를 이체하는 브라질의 유명한 결제 시스템인 Boleto 도 손상시킬 수 있습니다. Mispadu 악성코드 공격의 Boleto 구성요소는 Boleto 티켓의 합법적 바코드를 정상적인 웹사이트의 오용을 통해 생성된 공격자의 은행 계좌에 연결된 바코드로 대체합니다. 이는 Mispadu 의 가장 고급 기능입니다.

자세한 내용은 WeLiveSecurity 블로그 게시물 Mispadu: 할인된 Unhappy Meal 광고를 참고하십니오.

• 데이터넷 : "맥도날드 할인쿠폰 위장 멀웨어 발견"
• ITWorld : 이셋, 신종 악성코드 2건 발견
• 디지털데일리 : 이셋, 신종 멀웨어 ‘디프리몬·미스파두’ 발견
• IT조선 : 이셋 "페이스북 광고 사칭한 신종 멀웨어 발견"