今年1月巴西、西班牙、国际刑警组织、资安业者ESET、Caixa银行联手参与跨国执法行动,中断金融木马Grandoreiro的营运,巴西警方进行5次逮捕行动、13次搜查,但如今有研究人员发现背后的骇客组织再度活动的迹象。
IBM旗下的威胁情报团队X-Force指出,这些骇客冒充墨西哥税务管理局(SAT)、墨西哥联邦电力委员会(CFE)、墨西哥行政和财政部长、阿根廷税务局、南非税务局(SARS)等政府机关或首长名义,以收信人使用的母语寄送钓鱼邮件,并以检视发票、财务报表、税务资料的名义,引诱他们点选信中的连结,一旦收信人依照指示操作,就会被引导至下载PDF的网页,但实际上,使用者会取得内含超过100 MB执行档的ZIP档案。研究人员指出,这个执行档就是Grandoreiro的载入工具,而档案制作的时间,通常是在电子邮件发送的前一天或当日。