Campanha conhecida como Grandoreiro se faz passar pela agência tributária espanhola

Operadores por trás do cavalo de Troia bancário Grandoreiro , que é popular na América Latina, têm usado e-mails se passando por Agencia Tributaria para enganar as vítimas para que instalem o malware.

A campanha começou no dia 11 de agosto ^th de 2020, quando muitos muitos espanhóis a receber mensagens que afirmam ser da Agencia Tributaria. Os e-mails tentavam fazer com que os usuários acreditassem que eram uma comunicação do Fisco, as mensagens usavam informações do remetente como “Servicio de Administración Tributaria” e vêm do endereço de e-mail contato @ acessofinanceiro [.] Com.

A mensagem inclui um link que aponta para um arquivo ZIP que afirma conter um comprovante fiscal digital e informa aos usuários que eles devem preencher um documento a ser enviado à Agência Tributaria, juntamente com uma taxa a pagar.

“Embora a mensagem não ofereça garantia de ser uma comunicação oficial, é provável que alguns destinatários tenham sido induzidos a baixar o arquivo ZIP vinculado por meio do link fornecido.” lê a análise publicada pela ESET.

“O link redireciona para um domínio que foi registrado no mesmo dia, 11 de agosto. No entanto, olhando as informações fornecidas pelo whois – um serviço que fornece informações de identificação sobre os registrantes de nomes de domínio – o país do registrante é listado como Brasil, o que poderia talvez indicam o paradeiro dos operadores desta campanha. ”

Os pesquisadores notaram outras campanhas de cavalos de Troia bancários na América Latina no mesmo período, alguns dos malwares distribuídos eram Mekotio .

O arquivo malicioso foi hospedado por agentes de ameaças em um domínio comprometido ou em um serviço de armazenamento em nuvem como o Dropbox. No caso do armazenamento em nuvem, o link aponta para uma pasta do Dropbox que contém o arquivo ZIP.

“Esta carga ZIP contém um arquivo MSI e uma imagem GIF. O acesso às propriedades do arquivo MSI revela que ele foi compilado no dia anterior, 10 de agosto. Também deve ser observado que o nome do arquivo ZIP tem o código de país “ES” no final. Os pesquisadores da ESET também detectaram outros arquivos no Dropbox com tamanhos e datas de compilação muito semelhantes, mas com códigos de país diferentes – possivelmente indicando que esta campanha tem como alvo vítimas em vários países ao mesmo tempo. ” continua ESET.

O arquivo MSI é uma variante do Win32 / TrojanDownloader.Delf.CYA, que é um downloader empregado em outras campanhas de disseminação de cavalos de Troia bancários na América Latina, incluindo  Grandoreiro,  Casbaneiro,  Mekotio  e  Mispadu.

“Representar a Agência Tributaria da Espanha ou outras agências semelhantes é um velho truque no livro dos atacantes que tem sido usado por um longo tempo, especialmente durante a temporada de impostos. No entanto, mesmo quando a alta temporada para impostos de renda já terminou, este ano viu essa técnica ser usada por trojans bancários latino-americanos e outras ameaças especializadas em roubar dados. ” conclui ESET.

Fonte: https://securityaffairs.co/wordpress/107460/malware/grandoreiro-targets-spain-tax.html