Киберпреступники распространяли мощный вирус GandCrab через электронную почту, маскируя его под квитанции об оплате. Когда ничего не подозревающий пользователь открывал письмо, на экране появлялся персонаж Марио из одноимённой игры, а вирус в это время начинал свою работу.
О подобном способе заражения устройства рассказал сотрудник компании Bromium Мэтью Ровен в блоке организации. Когда жертва открывает фейковое письмо, вредоносный скрипт извлекает из изображения Марио команду PowerShell, а затем запускает её. После этого на компьютере запускается загрузка и самого вируса GandCrab.
Преимущественно от атаки могут пострадать жители Италии, поскольку в посланиях используется их родной язык. Кроме того, в макросах, которые вложены в письмо, указывается регион, в котором проживает пользователь. Жертве мошенников повезёт, если она находится в другой стране, в таком случае загрузка вируса просто не происходит.
Ранее вирус GandCrab распространяли под видом любовных писем. Помимо него в посланиях содержалось ещё два опасных вируса – спамбот Phorpiex и программа-майнер XMRig. Также GandCrab использовался мошенниками для запугивания пользователей: злоумышленники угрожали жертвам, что выложат в сеть их личные данные, а также видео, которое было записано, когда те посещали сайты для взрослых. Договориться с киберпреступниками можно было за определённую сумму, которая выплачивалась в биткоинах.