Una nueva campaña de phishing ha puesto sus ojos en la región de América Latina para entregar cargas útiles maliciosas a los sistemas Windows.
«El correo electrónico de phishing contenía un archivo adjunto ZIP que, cuando se extrae, revela un archivo HTML que conduce a una descarga de archivo malicioso que se hace pasar por una factura», dijo Karla Agregado, investigadora de Trustwave SpiderLabs .
El mensaje de correo electrónico, dijo la compañía, se origina en un formato de dirección de correo electrónico que utiliza el dominio «enlace temporal[.]» y tiene Roundcube Webmail listado como la cadena Usuario-Agente.
El archivo HTML contiene un enlace («facturasmex[.]cloud») que muestra un mensaje de error que dice «esta cuenta ha sido suspendida», pero cuando se visita desde una dirección IP geolocalizada en México, carga una página de verificación CAPTCHA que utiliza Cloudflare Turnstile .
Este paso allana el camino para una redirección a otro dominio desde donde se descarga un archivo RAR malicioso. El archivo RAR viene con un script de PowerShell que recopila metadatos del sistema y comprueba la presencia de software antivirus en la máquina comprometida.
También incorpora varias cadenas codificadas en Base64 que están diseñadas para ejecutar scripts PHP para determinar el país del usuario y recuperar un archivo ZIP de Dropbox que contiene «muchos archivos altamente sospechosos».
Trustwave dijo que la campaña muestra similitudes con las campañas de malware Horabot que se han dirigido a usuarios de habla hispana en América Latina en el pasado.
«Es comprensible que, desde el punto de vista de los actores de amenazas, las campañas de phishing siempre intenten diferentes [enfoques] para ocultar cualquier actividad maliciosa y evitar la detección inmediata», dijo Agregado.
«Usar dominios recién creados y hacerlos accesibles sólo en países específicos es otra técnica de evasión, especialmente si el dominio se comporta de manera diferente dependiendo del país de destino».
El desarrollo se produce cuando Malwarebytes reveló una campaña de publicidad maliciosa dirigida a los usuarios de búsqueda de Microsoft Bing con anuncios falsos para NordVPN que conducen a la distribución de un troyano de acceso remoto llamado SectopRAT (también conocido como ArechClient) alojado en Dropbox a través de un sitio web falso («besthord-vpn[.] com»).
«La publicidad maliciosa sigue demostrando lo fácil que es instalar subrepticiamente malware bajo la apariencia de descargas de software populares», afirmó el investigador de seguridad Jérôme Segura . «Los actores de amenazas pueden implementar infraestructura rápida y fácilmente para evitar muchos filtros de contenido».
También sigue al descubrimiento de un instalador falso de Java Access Bridge que sirve como conducto para implementar el minero de criptomonedas XMRig de código abierto, según SonicWall.
La compañía de seguridad de red dijo que también descubrió un malware Golang que «utiliza múltiples comprobaciones geográficas y paquetes disponibles públicamente para realizar capturas de pantalla del sistema antes de instalar un certificado raíz en el registro de Windows para comunicaciones HTTPS con el [servidor de comando y control]».
Fuente y redacción: thehackernews.com
