Відомий банківський троян Grandoreiro тепер поширюється через листи нібито від податкової агенції

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нових деталей активності банківського трояна Grandoreiro. Зокрема, кіберзлочинці використовували електронні листи, у  яких представлялись податковою агенцією Іспанії.

Починаючи з 11 серпня 2020 року іспанці отримували електронні листи нібито від податкової агенції. Щоб змусити одержувачів повірити у те, що вони отримали офіційне повідомлення від податкової, у листах використовувалась неправдива інформація про відправника та підробна електронна адреса contato@acessofinanceiro[.]Com.

У тілі повідомлення містилося посилання на завантаження ZIP-архіву, який нібито містить цифрову податкову квитанцію. Незважаючи на те, що лист не схожий на офіційний, імовірно, деякі одержувачі все ж таки завантажили ZIP-файл через посилання у листі. Посилання переспрямовує користувачів на домен, який був зареєстрований в той же день, 11 серпня. Крім цього, за інформацією з сервісу «whois», який надає ідентифікаційну інформацію про реєстраторів доменних імен, країна походження реєстратора домену — Бразилія, де, імовірно, перебувають оператори цієї кампанії.

У разі скачування квитанції встановлюється банківський троян Grandоreiro - новини ESET.

Ланцюг інфікування в цій кампанії є характерним для латиноамериканських банківських троянів. Зокрема, завантажуваний файл розміщується кіберзлочинцями або на скомпрометованому домені, або в хмарному сервісі зберігання даних, наприклад, Dropbox. У  випадку з хмарним  сервісом, посилання зі спам-повідомлення електронної пошти буде перенаправляти на Dropbox, звідки ZIP-файл можна відкрити або зберегти.

Цей ZIP-компонент містить файл MSI та зображення GIF. Ознайомившись з властивостями файлу MSI, спеціалісти ESET виявили, що він був створений напередодні, 10 серпня. Варто також зазначити, що назва ZIP-файлу має в кінці код країни «ES». Дослідники ESET виявили й інші файли в Dropbox із дуже схожими розмірами та датами створення, але різними кодами країн — це може свідчити про те, що кампанія була одночасно спрямована на жертв у різних країнах.

Рішення ESET виявляють цей файл MSI як варіант Win32/TrojanDownloader.Delf.CYA, тип шкідливого завантажувача, який відповідає за розгортання іншої шкідливої ​​програми у системі жертви. Він є особливо поширеним серед латиноамериканських сімейств банківських троянів, таких як Grandoreiro, Casbaneiro, Mekotio та Mispadu.

Поширення фішингових повідомлень під виглядом повідомлень від офіційних організацій — стара та добре відома шахрайська схема, яка залишається поширеною серед зловмисників. Саме тому важливо бути пильним та уникати натискання на посилання в електронних листах, якщо ви не впевнені в їх походженні. Крім цього, спеціалісти ESET рекомендують використовувати надійне рішення з безпеки, яке здатне виявити та знешкодити подібні загрози.