23.08.2022 | Банковские счета компаний Испании и Мексики оказались под угрозой |
Согласно отчету Zscaler , в рамках новой кампании злоумышленник с помощью фишинговых электронных писем выдает себя за правительственных чиновников из Генпрокуратуры Мехико и Министерства государственного управления, чтобы побудить жертв загрузить и запустить Grandoreiro . Этот распространенный банковский троян активен по крайней мере с 2016 года и нацелен на пользователей в Латинской Америке. С июня 2022 года киберпреступник с помощью многочисленных цепочек заражения атакует компании в секторе автомобилестроения, промышленного и гражданского строительства, логистики и машиностроения в Мексике и предприятия химической промышленности в Испании. Отправляемые фишинговые письма написаны на испанском языке и побуждают жертву нажать на встроенную ссылку, которая загружает ZIP-архив. Из архива извлекается загрузчик, который маскируется под PDF-документ, чтобы осуществить запуск процесса. В фишинговых сообщениях используются темы, связанные с возмещением платежей, уведомлениями о судебных разбирательствах, аннулированием ипотечных кредитов и депозитными ваучерами. Этот загрузчик отвечает за загрузку, извлечение и выполнение полезной нагрузки Grandoreiro объемом 400 МБ с удаленного HFS-сервера, которая далее взаимодействует с C2-сервером, используя трафик, идентичный LatentBot . Загрузчик также предназначен для сбора системной информации, получения списка установленного антивирусного ПО, криптовалютных кошельков, банковских и почтовых приложений и передачи информации на удаленный сервер. Grandoreiro представляет собой модульный бэкдор с набором функций, которые позволяют ему:
Более того, вредоносное ПО использует тест CAPTCHA для обхода песочницы. Прохождение CAPTCHA запускает троян на скомпрометированной машине, т.е. бэкдор не запустится до тех пор, пока жертва не решит CAPTCHA. |
|
Проверить безопасность сайта
