Uma nova campanha de phishing voltou seus olhos para a região da América Latina para entregar payloads maliciosos a sistemas Windows.
"O e-mail de phishing continha um arquivo ZIP em anexo que, ao ser extraído, revela um arquivo HTML que leva ao download de um arquivo malicioso apresentado como uma nota fiscal", disse a pesquisadora da Trustwave SpiderLabs, Karla Agregado.
A mensagem de e-mail, disse a empresa, origina-se de um formato de endereço de e-mail que utiliza o domínio "temporary[.]link" e lista o Roundcube Webmail como o User-Agent.
O arquivo HTML contém um link ("facturasmex[.]cloud") que exibe uma mensagem de erro dizendo "esta conta foi suspensa", mas quando visitado de um endereço IP geolocalizado no México, carrega uma página de verificação CAPTCHA que usa o Cloudflare Turnstile.
Este passo abre caminho para um redirecionamento para outro domínio de onde um arquivo RAR malicioso é baixado.
O arquivo RAR vem com um script PowerShell que coleta metadados do sistema assim como verifica a presença de software antivírus na máquina comprometida.
Incorpora também várias strings codificadas em Base64 projetadas para executar scripts PHP para determinar o país do usuário e recuperar um arquivo ZIP do Dropbox contendo "muitos arquivos altamente suspeitos".
A Trustwave disse que a campanha exibe similaridades com as campanhas de malware Horabot que têm como alvo usuários de língua espanhola na América Latina no passado.
"Compreensivelmente, sob a perspectiva dos atores de ameaças, campanhas de phishing sempre tentam diferentes [abordagens] para esconder qualquer atividade maliciosa e evitar detecção imediata", Agregado disse.
"Usar domínios recém-criados e torná-los acessíveis apenas em países específicos é outra técnica de evasão, especialmente se o domínio se comportar de maneira diferente dependendo do país-alvo."
O desenvolvimento ocorre enquanto a Malwarebytes revelou uma campanha de malvertising visando usuários do Microsoft Bing com anúncios falsos para NordVPN que levam à distribuição de um trojan de acesso remoto chamado SectopRAT (também conhecido como ArechClient) hospedado no Dropbox via um site falso ("besthord-vpn[.]com").
"O malvertising continua a mostrar como é fácil instalar malware sorrateiramente sob a fachada de downloads de software populares", disse o pesquisador de segurança Jérôme Segura.
"Os atores de ameaças são capazes de implantar infraestrutura rapidamente e facilmente para burlar muitos filtros de conteúdo."
Isso também segue a descoberta de um instalador falso do Java Access Bridge que serve como um conduíte para implantar o minerador de criptomoedas de código aberto XMRig, conforme a SonicWall.
A empresa de segurança de rede disse também ter descoberto um malware Golang que "usa múltiplos cheques geográficos e pacotes publicamente disponíveis para capturar a tela do sistema antes de instalar um certificado root no registro do Windows para comunicações HTTPS com o [servidor de comando e controle]."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...