尽管全球许多国家的所得税纳税高峰期已经过去了几周，但对于网络犯罪活动来说，任何机会都不会错过。

几个月来，各种犯罪团伙试图冒充政府组织，比如西班牙官方税务机构Agencia Tributaria。

今天，大家和蘑菇一起来看看Grandoreiro(一个臭名昭著的拉丁美洲银行木马)是如何冒充Agencia Tributaria的电子邮件，以诱骗新的受害者的。

在2020年8月11日，许多西班牙人收到了声称来自Agencia Tributaria的电子邮件。这些信息使用了虚假的发送者信息，如“Servicio de administration Tributaria”和电子邮件地址contato@acessofinanceiro[.]com，使收件人相信他们收到了税务机关的正式通知。

在邮件的正文中，收件人被引导去下载一个ZIP归档文件，据说其中包含了一个数字税单。此外，还有一份文件要提交给Agencia Tributaria，同时还要支付一笔费用。一些收件人被诱骗通过提供的链接下载了这个ZIP文件。

该链接重定向到当天(8月11日)注册的域名。但是，通过查看whois(提供关于域名注册者的识别信息的服务)提供的信息，注册者的国家被列为巴西，这可能暴露了该团伙的位置。

ESET的研究人员发现，这场欺诈活动的主要链是典型的拉丁美洲银行木马（Latin American banking trojans）。

首先，木马已经被犯罪团伙放在了一个存在风险的域上，或者像Dropbox这样的云存储服务上。

在这种情况下，垃圾邮件中的链接将收件人导向Dropbox链接，ZIP文件可以在那里打开或保存。

这个ZIP恶意程序包含一个MSI文件和一个GIF图像。

MSI文件的属性是在8月10日编译的。ZIP文件名末尾有国家代码“ES”。同时，在Dropbox中发现了其他文件，它们的大小和编译日期非常相似，但是使用了不同的国家代码——这可能表明这次欺诈活动的目标是在不同的国家同时进行的。

ESET检测这个MSI文件为Win32/TrojanDownloader.Delf的变体。CYA，一种恶意下载器，负责将其他恶意软件引入你的系统，特别是来自拉丁美洲银行特洛伊家族，如Grandoreiro, Casbaneiro, Mekotio和Mispadu。

在这种情况下，我们看到了过去几周在西班牙特别活跃的Grandoreiro银行业木马的一种新变体。

冒充西班牙Agencia Tributaria或其他类似机构是攻击者惯用的老伎俩，使用了很长时间，尤其是在纳税季节。

然而，即使所得税的旺季已经结束，今年拉丁美洲银行木马和其他专门窃取数据的威胁也在使用这种技术。

因此，蘑菇提醒大家，时刻保持警惕并避免点击电子邮件、微信、短信中的链接是很重要的，除非你通过与发件人核实绝对确定其来源，并考虑这些载体可能试图冒充政府机构的可能性。