В компании Forcepoint обнаружили новые мошеннические имейлы, которые содержат банковский вирус Grandoreiro. В этих письмах говорится, что они отправлены от налоговых служб и содержат ссылку для оплаты штрафа.
Эти вредоносные имейлы отправляются чер через почтовый агент GNU Mailutils 3.7 и хостинг OVHcloud. Они были отправлены жителям Испании, Аргентины и Мексики.
Все ссылки в письмах ведут к виртуальным машинам и серверам на хостинге Contabo. При нажатии кнопки Download PDF на странице открывается JavaScript, который проверяет браузер и операционную систему посетителя и загружает ZIP-файл с файлообменника Mediafire.
Вредоносный архив зачастую защищен паролем и содержит скрытый скрипт VBS. Этот скрипт запускает троян Grandoreiro в системной директории с помощью Wscript.shell.
Этот вредоносный файл, скомпилированный в Delphi 32-бит, выглядит под видом PDF. При его запуске появляется ошибка Adobe Acrobat Reader с предложением открыть документ.
Если жертва последует инструкциям, троян подключится к серверу в облаке AWS и начнет кражу учетных данных и биткоин-кошельков. Он также собирает информацию о системе (GUID, имя компьютера, используемый язык).
© KiberSec.ru – 05.04.2025, обновлено 05.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
