В компании Forcepoint зарегистрировали новые случаи отправки электронных писем, которые используются для распространения банковского трояна Grandoreiro. Сообщения фальсифицированы и выглядят как официальные уведомления от налоговых органов. В них содержится ссылка на якобы штрафную документацию.
Распространение вредоносных писем осуществляется через ресурсы OVHcloud с применением почтового агента GNU Mailutils 3.7. Фейковые сообщения были направлены жителям Испании, Аргентины и Мексики.
Все ссылки в письмах ведут на виртуальные машины или серверы, расположенные на хостинге Contabo. Когда пользователь нажимает кнопку «Download PDF», запускается JavaScript, который проверяет браузер и операционную систему посетителя. Затем происходит перенаправление на ZIP-архив, размещённый на файлообменнике Mediafire. Этот архив часто бывает зашифрован и содержит обфусцированный скрипт VBS. Скрипт расшифровывает скрытый исполняемый файл Grandoreiro, помещает его в системную директорию и запускает. Заражённый файл, скомпилированный в Delphi замаскирован под PDF.
При запуске троян выдаёт ошибку Adobe Acrobat Reader и предлагает нажать встроенную кнопку для открытия документа. Если пользователь соглашается, троян подключается к C2-серверу в облаке AWS и начинает свою основную задачу — кражу учётных записей и данных биткоин-кошельков. Кроме того, вредоносное ПО собирает системные данные, такие как GUID, имя компьютера и используемый язык.