Кіберзлочинці для чергової кампанії зі збору даних використовували електронні листи, у яких надсилали електронні податкові квитанції з інфікованим вкладенням. Так, завантаживши файл, користувачі отримували банківський троян Grandoreiro, який встановлювався на їхні комп’ютери.
Починаючи з 11 серпня 2020 року мешканці Іспанії отримували електронні листи нібито від податкової агенції, повідомляє ESET.
Щоб змусити одержувачів повірити у те, що вони отримали офіційне повідомлення від податкової, у листах використовувалась неправдива інформація про відправника та підробна електронна адреса contato@acessofinanceiro[.]Com.
У тілі повідомлення містилося посилання на завантаження ZIP-архіву, який нібито містить цифрову податкову квитанцію. Незважаючи на те, що лист не схожий на офіційний, ймовірно, деякі одержувачі все ж таки завантажили ZIP-файл через посилання у листі. Посилання переспрямовує користувачів на домен, який був зареєстрований у той же день, 11 серпня. Крім цього, за інформацією з сервісу “whois”, який надає ідентифікаційну інформацію про реєстраторів доменних імен, країна походження реєстратора домену — Бразилія, де, ймовірно, перебувають оператори цієї кампанії.
Ланцюг інфікування в цій кампанії є характерним для латиноамериканських банківських троянів. Зокрема, завантажуваний файл розміщується кіберзлочинцями або на скомпрометованому домені, або в хмарному сервісі зберігання даних, наприклад, Dropbox. У випадку з хмарним сервісом, посилання зі спам-повідомлення електронної пошти буде перенаправляти на Dropbox, звідки ZIP-файл можна відкрити або зберегти.
Цей ZIP-компонент містить файл MSI та зображення GIF. Ознайомившись з властивостями файлу MSI, спеціалісти ESET виявили, що він був створений напередодні, 10 серпня. Варто також зазначити, що назва ZIP-файлу має в кінці код країни “ES”. Дослідники виявили й інші файли в Dropbox із дуже схожими розмірами та датами створення, але різними кодами країн — це може свідчити про те, що кампанія була одночасно спрямована на жертв у різних країнах.
Цей файл MSI антивірусні продукти ідентифікують як варіант Win32/TrojanDownloader.Delf.CYA – тип шкідливого завантажувача, який відповідає за розгортання іншої шкідливої програми у системі жертви. Він є особливо поширеним серед латиноамериканських сімейств банківських троянів, таких як Grandoreiro, Casbaneiro, Mekotio та Mispadu.
Поширення фішингових повідомлень під виглядом повідомлень від офіційних організацій — стара та добре відома шахрайська схема, яка залишається поширеною серед зловмисників. Саме тому важливо бути пильним та уникати натискання на посилання в електронних листах, якщо ви не впевнені в їх походженні. Крім цього, фахівці рекомендують використовувати надійне рішення з безпеки, яке здатне виявити та знешкодити подібні загрози.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як змінити пароль у Facebook? ІНСТРУКЦІЯ
Що робити, щоб унеможливити відслідковування Вашого телефону? Поради
“Додайте гучності!” Вісім способів покращити звук на Вашому смартфоні
Як захистити дані на смартфоні, якщо Ви його втратите? ІНСТРУКЦІЯ
Нагадаємо, цієї весни фахівці з кібербезпеки виявили небезпечну помилку, яка дозволяла зловмисникам зловживати службою Gmail від Google. При правильному використанні підроблені електронні листи могли бути відправлені з реальних адрес Gmail.
Також, фішингову кампанію з використанням бренду Netflix виявили фахівці з кібербезпеки. Зловмисники розсилають користувачам листи з повідомленням про заборгованість і вимогою змінити платіжні дані для продовження підписки. У листі міститься посилання, що веде на сторінку з формою для введення платіжних даних.
Окрім цього, щойно відкритий дослідниками P2P-ботнет вразив щонайменше 500 урядових та корпоративних серверів SSH протягом 2020 року. Протягом останніх восьми місяців FritzFrog намагався зламати методом брутфорсу (або ж підбору вхідних даних) сервери SSH, що належать державним установам, закладам освіти, а також фінансовим, медичним та телекомунікаційним компаніях у всьому світі.
Зауважте, незаконний майнінг використовує потенційно небажаний або шкідливий код, який призначений для споживання обчислювальної потужності певного пристрою з метою прихованого майнінгу. При цьому дії зловмисників приховуються або виконуються у фоновому режимі без отримання згоди користувача або адміністратора. На чому базується робота даного методу та як розпізнати атаку, читайте у статті.
До речі, після короткого періоду тестування Instagram запровадив новинку – “персональні” QR-коди, які діють так само, як і раніше введені “персональні” теги. Але з однією ключовою відмінністю – люди, які намагаються знайти Ваш профіль, можуть шукати їх за допомогою будь-якої програми камери, здатної читати QR-коди.
