¿Cupón de McDonalds en Facebook? Cuidado!, podría tratarse de un troyano bancario

En noviembre del año pasado, ESET detectó una campaña de malware que involucra restaurantes de comida rápida, bancos y demás empresas, y que además utiliza los anuncios de Facebook para propagarse.

Se trata del troyano bancario Mispadu, que actualmente está funcionando en Latinoamérica.

Este troyano se ha identificado en campañas dirigidas a Brasil y México. Está escrito en Delphi. Debido a que funciona como puerta trasera, Mispadu puede tomar capturas de pantalla, simular acciones de mouse y teclado, capturar las pulsaciones de las teclas y se actualiza a través de un archivo de Visual Basic Script (VBS) que descarga y ejecuta.

Al igual que otras piezas de malware como Amavaldo y Casbaneiro, Mispadu puede identificarse mediante el uso de un algoritmo criptográfico único y personalizado, para ofuscar las cadenas en su código.

Ahora, en junio de 2020, se ha popularizado una campaña publicitaria en Facebook que muestra anuncios con cupones de descuento de McDonalds, como se puede ver en la siguiente imagen:

Aunque para muchos es fácil darse cuenta que es un anuncio falso, por el hecho de que no aparece el check de verificación al lado del nombre de la fanpage al colocar el cursor, y que el dominio no es el correcto, muchas personas podrían caer en la trampa por la atractiva promoción de pagar 19 pesos por una hamburguesa.

Al dar clic en el botón Más información, se abre una página cuyo dominio cambia a cupon[.]mcdonalds[.]tech. Según los datos de Who.is, el sitio web está creado con Wix, y es una copia idéntica del sitio web original de McDonalds.

Si se da clic en generar cupón, se descarga un archivo zip con el nombre Cupón-18002.zip, el cual contiene un archivo MSI y otros dos archivos ejecutables de Windows.

Podría tratarse de una variante del troyano Mispadu, ya que hasta ahora, el archivo ZIP no es detectado por ningún antivirus. Sin embargo, VirusTotal detecta a uno de los archivos con una gran variedad de nombres vistos en la naturaleza, por ejemplo, cvr8bff.tmp.cvr. y que es un producto creado por Mozilla y firmado por la misma compañía y Symantec.

ESET no detecta el malware, probablemente porque el algoritmo SHA1 es distinto al detectado en la campaña del año pasado, lo que sugiere un nuevo método de ofuscación.

Es evidente que Facebook no se preocupa por el contenido que muestra en su plataforma, mismo por el cual recibe una remuneración.

Hemos contactado a McDonald’s México para saber si están al tanto de esta campaña de malware que involucra su nombre desde hace varios meses y si le interesa emitir algún comunicado al respecto, en caso de recibir respuesta se actualizará esta nota.

Debido al algoritmo de Facebook para mostrar anuncios relevantes, nos apareció un anuncio auténtico de McDonald’s, que se ve así:

En este anuncio auténtico, se puede observar que el dominio del sitio web es el correcto, además, al poner el cursor sobre el nombre McDonald’s de la fanpage, aparece el check de página verificada.

Como el restaurante está emitiendo anuncios con promociones, es muy probable que la gente se confunda y accedan al sitio equivocado, infectándose con el malware. Es necesario tener mucho cuidado en este aspecto y verificar siempre que el dominio del sitio sea el correcto y que la página en Facebook sea la auténtica.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *