Nova phishing kampanja uperila je oči u regiju Latinske Amerike kako bi isporučila zlonamjerni sadržaj Windows sistemima.
“Phishing e-pošta je sadržavala prilog ZIP datoteke koji kada se ekstrahuje otkriva HTML datoteku koja vodi do zlonamjernog preuzimanja fajla koji se predstavlja kao faktura”, rekla je istraživačica Trustwave SpiderLabs-a Karla Agregado.
Poruka e-pošte, navodi kompanija, potiče iz formata adrese e-pošte koji koristi domenu “privremena[.]link” i ima Roundcube Webmail naveden kao User-Agent string.
HTML fajl ukazuje na vezu (“facturasmex[.]cloud”) koja prikazuje poruku o grešci koja kaže “ovaj nalog je suspendovan”, ali kada se poseti sa IP adrese geolocirane u Meksiku, učitava stranicu za potvrdu CAPTCHA koja koristi Cloudflare Turnstile.
Ovaj korak otvara put za preusmjeravanje na drugu domenu odakle se preuzima zlonamjerna RAR datoteka. RAR arhiva dolazi sa PowerShell skriptom koja prikuplja sistemske metapodatke, te provjerava prisustvo antivirusnog softvera na kompromitovanoj mašini.
Takođe uključuje nekoliko Base64 kodiranih stringova koji su dizajnirani za pokretanje PHP skripti za određivanje zemlje korisnika i preuzimanje ZIP datoteke sa Dropboxa koja sadrži “mnoge vrlo sumnjive datoteke”.
Trustwave je rekao da kampanja pokazuje sličnosti s malver kampanjom Horabot koja je u prošlosti ciljala korisnike koji govore španski u Latinskoj Americi.
“Razumljivo, sa stanovišta hakera, phishing kampanje uvijek pokušavaju različite [pristupe] da sakriju svaku zlonamjernu aktivnost i izbjegnu trenutno otkrivanje”, rekao je Agregado.
“Koristiti novostvorene domene i učiniti ih dostupnim samo u određenim zemljama je još jedna tehnika izbjegavanja, posebno ako se domen ponaša drugačije u zavisnosti od ciljane zemlje.”
Razvoj dolazi nakon što je Malwarebytes otkrio zlonamjernu kampanju koja cilja korisnike pretraživanja Microsoft Binga sa lažnim oglasima za NordVPN koji dovode do distribucije trojanca za daljinski pristup pod nazivom SectopRAT (aka ArechClient) koji se hostuje na Dropboxu putem lažne web stranice („besthord-vpn[.] com”).
“Malvertising nastavlja da pokazuje koliko je lako potajno instalirati malver pod krinkom popularnog preuzimanja softvera”, rekao je istraživač sigurnosti Jérôme Segura. “Hakeri mogu brzo i lako razviti infrastrukturu kako bi zaobišli mnoge filtere sadržaja.”
Takođe prati otkriće lažnog Java Access Bridge instalatera koji služi kao kanal za implementaciju open-source XMRig rudara kriptovaluta, prema SonicWall-u.
Kompanija za mrežnu sigurnost je rekla da je također otkrila malver Golang koji “koristi višestruke geografske provjere i javno dostupne pakete za snimanje ekrana sistema prije instaliranja root certifikata u Windows registar za HTTPS komunikaciju sa [serverom za naredbu i kontrolu].”
Izvor: The Hacker News