Новая спам-кампания, направленная на клиентов банков, выявлена экспертами из Cyren. В рамках киберкампании хакеры организуют рассылку фальшивых писем якобы от имени таких крупных банков, как Emirates NBD и DBS Bank.
Распространение писем осуществляется под видом уведомлений о сетевых платежах с вложенным файлом, который содержит вредоносную программу, способную работать как кейлоггер и похищать у пользователей криптовалюту.
Рассылку писем проводят боты из США и Сингапура. Чтобы усыпить бдительность пользователей, злоумышленники поместили во вложения коды SWIFT, которые применяются для того, чтобы идентифицировать банки и финансовые институты при переводе денег.
Прикрепленные к письмам файлы могут выглядеть как PDF-документы, но на самом деле они являются исполняемыми. Когда пользователь запускает исходный файл, тот удаляет сам себя и создает в автозагрузке новый файл filename.vbs. Этот файл осуществляет установку кейлоггера, записывающего, помимо нажатий клавиш, еще и движения мыши.
Вредоносная программа осуществляет сбор паролей и других конфиденциальных сведений из браузеров и почтовых клиентов, а также ведет поиск криптокошельков и похищает их содержимое.