Španielsko v posledných týždňoch zasiahla vlna phishingových útokov novým variantom trójskeho koňa Grandoreiro, ktorý je dlhodobo v hľadáčiku výskumníkov z firmy ESET. Tentokrát sa útočníci rozhodli imitovať finančnú správu.
Dňa 11. augusta španielski daňoví poplatníci obdržali e-maily navádzajúce ku stiahnutiu ZIP archívu. Mal sa v ňom nachádzať digitálny daňový doklad a dokument, ktorý bolo údajne nutné odovzdať finančnej správe Agencia Tributaria.
Kliknutie na URL adresu uvedenú v e-maile obete presmerovalo na doménu zaregistrovanú v ten istý deň v Brazílii. Našli na nej pokyny k stiahnutiu ZIP archívu, ktorého súčasťou bol MSI súbor a GIF obrázok.
Daný MSI súbor obsahoval downloader Win32/TrojanDownloader.Delf.CYA. Jeho úlohou bolo infikovať zariadenia ďalším malvérom.
https://twitter.com/Bank_Security/status/1296783357590884352Výskumníci ESETu v Dropboxe objavili viaceré súbory s podobnými veľkosťami a dňom skompilovania, no s rozdielnymi koncovkami obsahujúcimi kódy krajín. To indikuje, že kampaň môže cieliť aj na obyvateľov iných štátov.
Samotná architektúra útoku sa veľmi nelíšila od zaužívaných vzorov bankových trójskych koňov od latinskoamerických tvorcov. Celý proces sa začína tým, že autor umiestni infikovaný ZIP archív do cloudového úložiska alebo na infikovanú doménu. Obete útoku sa k tomuto ZIP-u dostanú kliknutím na adresovaný odkaz.
Ani samotný Grandoreiro nie je novinkou – v Brazílii bol aktívny probližne od roku 2014 a preslávil sa aj útokmi na španielske banky. Regionálnu variabilitu mu umožňuje predovšetkým jazyková podobnosť cielených krajín.
Krištof Remper