Новости Обманчивая CAPTCHA: Латинская Америка страдает от новых способов фишинга

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Как счет-фактура обернулась вирусом и почему электронные письма стали такими опасными?


45isx9h3tvj7y33l8anq5pba9pz1ml2u.jpg


По Для просмотра ссылки Войди или Зарегистрируйся Trustwave SpiderLabs, на Латинскую Америку обрушилась новая фишинговая кампания, в ходе которой системы Windows заражаются вирусами через электронные письма.

Цепочка атаки начинается с рассылки электронных писем с вложением в виде ZIP-файла. После распаковки архива открывается HTML-файл, который перенаправляет пользователя на загрузку мошеннического файла, маскирующегося под счет-фактуру. Отправитель электронного письма использовал адрес с доменом «temporary[.]link», а в качестве почтового агента указан Roundcube Webmail.

Особенностью HTML-файла является ссылка, ведущая на страницу с сообщением о приостановке аккаунта. Это происходит при подключении не из Мексики. Однако при доступе с IP-адреса из Мексики, открывается страница с CAPTCHA от Cloudflare Turnstile, что является вводной для загрузки вредоносного RAR-архива. Данный архив содержит скрипт PowerShell, собирающий информацию о системе и проверяющий наличие антивирусного ПО на зараженном компьютере.


9n74xwn3rs0vjqf0fuqscrpkhbsa6no3.png


Сообщение о приостановке аккаунта при доступе из другого региона (слева) и страница с CAPTCHA при подключении из Мексики (справа)

В архив включены строки, закодированные в Base64, предназначенные для выполнения PHP-скриптов, определяющих страну пользователя и загружающих ZIP-файл с Dropbox, содержащий «множество подозрительных файлов». Эксперты Trustwave отмечают, что данная кампания имеет схожие черты с Для просмотра ссылки Войди или Зарегистрируйся ботнета Horabot, направленной против испаноязычных пользователей в Латинской Америке.

Специалисты отметили, что использование новосозданных доменов и предоставление к ним доступа только в определенных странах — это еще один метод уклонения. Особенно если домен ведет себя по-разному в зависимости от целевой страны.
 
Источник новости
www.securitylab.ru

Похожие темы