Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нових деталей активності банківського трояна Grandoreiro. Зокрема, кіберзлочинці використовували електронні листи, у яких представлялись податковою агенцією Іспанії.
Починаючи з 11 серпня 2020 року іспанці отримували електронні листи нібито від податкової агенції. Щоб змусити одержувачів повірити у те, що вони отримали офіційне повідомлення від податкової, у листах використовувалась неправдива інформація про відправника та підробна електронна адреса contato@acessofinanceiro[.]Com.
У тілі повідомлення містилося посилання на завантаження ZIP-архіву, який нібито містить цифрову податкову квитанцію. Незважаючи на те, що лист не схожий на офіційний, імовірно, деякі одержувачі все ж таки завантажили ZIP-файл через посилання у листі. Посилання переспрямовує користувачів на домен, який був зареєстрований в той же день, 11 серпня. Крім цього, за інформацією з сервісу «whois», який надає ідентифікаційну інформацію про реєстраторів доменних імен, країна походження реєстратора домену — Бразилія, де, імовірно, перебувають оператори цієї кампанії.
Ланцюг інфікування в цій кампанії є характерним для латиноамериканських банківських троянів. Зокрема, завантажуваний файл розміщується кіберзлочинцями або на скомпрометованому домені, або в хмарному сервісі зберігання даних, наприклад, Dropbox. У випадку з хмарним сервісом, посилання зі спам-повідомлення електронної пошти буде перенаправляти на Dropbox, звідки ZIP-файл можна відкрити або зберегти.
Цей ZIP-компонент містить файл MSI та зображення GIF. Ознайомившись з властивостями файлу MSI, спеціалісти ESET виявили, що він був створений напередодні, 10 серпня. Варто також зазначити, що назва ZIP-файлу має в кінці код країни «ES». Дослідники ESET виявили й інші файли в Dropbox із дуже схожими розмірами та датами створення, але різними кодами країн — це може свідчити про те, що кампанія була одночасно спрямована на жертв у різних країнах.
Рішення ESET виявляють цей файл MSI як варіант Win32/TrojanDownloader.Delf.CYA, тип шкідливого завантажувача, який відповідає за розгортання іншої шкідливої програми у системі жертви. Він є особливо поширеним серед латиноамериканських сімейств банківських троянів, таких як Grandoreiro, Casbaneiro, Mekotio та Mispadu.
Поширення фішингових повідомлень під виглядом повідомлень від офіційних організацій — стара та добре відома шахрайська схема, яка залишається поширеною серед зловмисників. Саме тому важливо бути пильним та уникати натискання на посилання в електронних листах, якщо ви не впевнені в їх походженні. Крім цього, спеціалісти ESET рекомендують використовувати надійне рішення з безпеки, яке здатне виявити та знешкодити подібні загрози.