Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новых деталей активности банковского трояна Grandoreiro. В частности, киберпреступники использовали электронные письма, в которых представлялись налоговым агентством Испании.
Начиная с 11 августа 2020 года испанцы получали электронные письма якобы от налогового агентства. Чтобы заставить получателей поверить в то, что они получили официальное сообщение от налоговой, в письмах использовалась ложная информация об отправителе и поддельный адрес contato@acessofinanceiro[.]Com.
В теле сообщения содержалась ссылка на загрузку ZIP-архива, который якобы содержит цифровую налоговую квитанцию. Несмотря на то, что письмо не похоже на официальное, вероятно, некоторые получатели все же загрузили ZIP-файл по ссылке в письме. Ссылка перенаправляет пользователей на домен, который был зарегистрирован в тот же день, 11 августа. Кроме этого, по информации из сервиса «whois», который предоставляет идентификационную информацию о регистраторах доменных имен, страна происхождения регистратора домена — Бразилия, где, вероятно, находятся операторы этой кампании.
Цепь инфицирования в этой кампании характерна для латиноамериканских банковских троянов. В частности, загружаемый файл размещается киберпреступниками или на скомпрометированном домене или в облачном сервисе хранения данных, например, Dropbox. В случае с облачным сервисом, ссылка из спам-сообщения электронной почты будет перенаправлять на Dropbox, откуда ZIP-файл можно открыть или сохранить.
Этот ZIP-компонент содержит файл MSI и изображения GIF. Ознакомившись со свойствами файла MSI, специалисты ESET обнаружили, что он был создан накануне, 10 августа. Стоит также отметить, что название ZIP-файла имеет в конце код страны «ES». Исследователи ESET обнаружили и другие файлы в Dropbox с очень похожими размерами и датами создания, но разными кодами стран — это может свидетельствовать о том, что кампания была одновременно направлена на жертв в разных странах.
Решение ESET обнаруживают этот файл MSI как вариант Win32/TrojanDownloader.Delf.CYA, тип вредоносного загрузчика, который отвечает за развертывание другой вредоносной программы в системе жертвы. Он особенно распространен среди латиноамериканских семейств банковских троянов, таких как Grandoreiro, Casbaneiro, Mekotio и Mispadu.
Отправка фишинговых сообщений под видом сообщений от официальных организаций — старая и хорошо известная мошенническая схема, которая остается распространенной среди злоумышленников. Именно поэтому важно быть бдительным и избегать нажатия на ссылку в электронных письмах, если вы не уверены в их происхождении. Кроме этого, специалисты ESET рекомендуют использовать надежное решение по безопасности, которое способно выявить и обезвредить подобные угрозы.