Киберпреступники прикрылись налоговой службой

Компания Eset обнаружила преступную кампанию, нацеленную на распространение банковского трояна Grandoreiro. Злоумышленники рассылали пользователям письма от имени налоговой службы Испании (Agencia Tributaria) с вредоносным вложением, замаскированным под официальный документ или со ссылкой для скачивания.


Рис. 1 — Письмо с вредоносным вложением от имени Налоговой службы Испании

Зараженный файл размещался на скомпрометированном домене или в облачном хранилище Dropbox. Жертве предлагалось перейти по ссылке и скачать ZIP-архив, в котором содержались файл MSI и образ GIF.

MSI-файл задетектирован как Win32/TrojanDownloader.Delf.CYA — вредоносный загрузчик, с помощью которого на устройства попадают такие виды малвари, как Grandoreiro, Casbaneiro, Mekotio и Mispadu.

В последнее время наблюдается всплеск активности именно Grandoreiro. Eset рекомендует тщательно проверять подлинность адреса отправителя письма, даже если на первый взгляд оно не вызывает подозрений. Кроме того, целесообразно установить комплексное антивирусное решение, способное защитить устройство от уже известных и новых видов киберугроз.