Отчетом о порядке действий злоумышленников поделились в Cisco Talos. Сообщается, что атаки замечены пока только на территории Бразилии и основная часть идет по финансовым учреждениям.
И в очередной раз злоумышленники рассчитывают на социальную инженерию, влияние на пользователей через доверенные сервисы. Отправляют письма с темой "Счет-фактура", а в теле фишинговые ссылки на загрузку PDF.
Хитрость атаки заключается в том, что пользователю открывается реальный файл PDF, в то время как вредонос запускает скрипт Python через cmd.exe. Дальше по классике скрипт загружает вредоносные библиотеки для захвата учетных данных, получения удаленного доступа к персональному компьютеру, а также возможно для кражи транзакций.
Кража происходит по методу оверлей-атаки, например, прозрачное окно вредоносного ПО накладывается поверх окна реального приложения.