Новая фишинговая кампания нацелилась на регион Латинской Америки для доставки вредоносных программ в системы Windows.
"Фишинговое электронное письмо содержало вложение ZIP-файла, при извлечении которого обнаруживается HTML-файл, который приводит к загрузке вредоносного файла, выдаваемого за счет-фактуру", - сказала исследователь Trustwave SpiderLabs Карла Агрегадо.
Электронное сообщение, по словам компании, исходит из формата адреса электронной почты, в котором используется домен "временная ссылка [.]" и веб-почта Roundcube указана в качестве строки User-Agent.
HTML-файл указывает на ссылку ("facturasmex[.]cloud"), которая отображает сообщение об ошибке "эта учетная запись заблокирована", но при посещении с IP-адреса, привязанного к Мексике, загружается страница проверки CAPTCHA, использующая турникет Cloudflare.
Этот шаг открывает путь для перенаправления на другой домен, откуда загружается вредоносный RAR-файл. Архив RAR поставляется со скриптом PowerShell, который собирает системные метаданные, а также проверяет наличие антивирусного программного обеспечения на взломанном компьютере.
Он также включает несколько строк в кодировке Base64, которые предназначены для запуска PHP-скриптов для определения страны пользователя и извлечения ZIP-файла из Dropbox, содержащего "множество крайне подозрительных файлов".
Trustwave заявила, что кампания имеет сходство с вредоносными кампаниями Horabot, которые нацеливались на испаноязычных пользователей в Латинской Америке в прошлом.
"Понятно, что с точки зрения участников угроз, фишинговые кампании всегда используют разные [подходы], чтобы скрыть любую вредоносную активность и избежать немедленного обнаружения", - сказал Агрегадо.
"Использование вновь созданных доменов и обеспечение их доступности только в определенных странах - еще один метод уклонения. особенно если домен ведет себя по-разному в зависимости от страны назначения ".
Развитие событий происходит после того, как Malwarebytes раскрыла вредоносную кампанию, нацеленную на пользователей Microsoft Bing search с помощью поддельной рекламы NordVPN, которая приводит к распространению троянца удаленного доступа под названием SectopRAT (он же ArechClient), размещенного в Dropbox через поддельный веб-сайт ("besthord-vpn [.] com").
"Вредоносная реклама продолжает демонстрировать, насколько легко тайно установить вредоносное ПО под видом загрузки популярного программного обеспечения", - сказал исследователь безопасности Жером Сегура. "Субъекты угроз могут быстро и легко развертывать инфраструктуру, позволяющую обходить многие фильтры контента".
Это также следует за обнаружением поддельного установщика Java Access Bridge, который служит каналом для развертывания майнера криптовалюты XMRig с открытым исходным кодом, согласно SonicWall.
Компания сетевой безопасности заявила, что также обнаружила вредоносное ПО Golang, которое "использует множественные географические проверки и общедоступные пакеты для создания скриншотов системы перед установкой корневого сертификата в реестр Windows для HTTPS-связи с [сервером командования и управления]".
"Фишинговое электронное письмо содержало вложение ZIP-файла, при извлечении которого обнаруживается HTML-файл, который приводит к загрузке вредоносного файла, выдаваемого за счет-фактуру", - сказала исследователь Trustwave SpiderLabs Карла Агрегадо.
Электронное сообщение, по словам компании, исходит из формата адреса электронной почты, в котором используется домен "временная ссылка [.]" и веб-почта Roundcube указана в качестве строки User-Agent.
HTML-файл указывает на ссылку ("facturasmex[.]cloud"), которая отображает сообщение об ошибке "эта учетная запись заблокирована", но при посещении с IP-адреса, привязанного к Мексике, загружается страница проверки CAPTCHA, использующая турникет Cloudflare.
Этот шаг открывает путь для перенаправления на другой домен, откуда загружается вредоносный RAR-файл. Архив RAR поставляется со скриптом PowerShell, который собирает системные метаданные, а также проверяет наличие антивирусного программного обеспечения на взломанном компьютере.
Он также включает несколько строк в кодировке Base64, которые предназначены для запуска PHP-скриптов для определения страны пользователя и извлечения ZIP-файла из Dropbox, содержащего "множество крайне подозрительных файлов".
Trustwave заявила, что кампания имеет сходство с вредоносными кампаниями Horabot, которые нацеливались на испаноязычных пользователей в Латинской Америке в прошлом.
"Понятно, что с точки зрения участников угроз, фишинговые кампании всегда используют разные [подходы], чтобы скрыть любую вредоносную активность и избежать немедленного обнаружения", - сказал Агрегадо.
"Использование вновь созданных доменов и обеспечение их доступности только в определенных странах - еще один метод уклонения. особенно если домен ведет себя по-разному в зависимости от страны назначения ".
Развитие событий происходит после того, как Malwarebytes раскрыла вредоносную кампанию, нацеленную на пользователей Microsoft Bing search с помощью поддельной рекламы NordVPN, которая приводит к распространению троянца удаленного доступа под названием SectopRAT (он же ArechClient), размещенного в Dropbox через поддельный веб-сайт ("besthord-vpn [.] com").
"Вредоносная реклама продолжает демонстрировать, насколько легко тайно установить вредоносное ПО под видом загрузки популярного программного обеспечения", - сказал исследователь безопасности Жером Сегура. "Субъекты угроз могут быстро и легко развертывать инфраструктуру, позволяющую обходить многие фильтры контента".
Это также следует за обнаружением поддельного установщика Java Access Bridge, который служит каналом для развертывания майнера криптовалюты XMRig с открытым исходным кодом, согласно SonicWall.
Компания сетевой безопасности заявила, что также обнаружила вредоносное ПО Golang, которое "использует множественные географические проверки и общедоступные пакеты для создания скриншотов системы перед установкой корневого сертификата в реестр Windows для HTTPS-связи с [сервером командования и управления]".
