Een nieuwe phishing-campagne heeft zijn aandacht gevestigd op de Latijns-Amerikaanse regio om kwaadaardige ladingen naar Windows-systemen te sturen.
“De phishing-e-mail bevatte een ZIP-bestandsbijlage die, wanneer deze werd uitgepakt, een HTML-bestand onthult dat leidt tot een kwaadaardige bestandsdownload die zich voordeed als een factuur”, aldus Trustwave SpiderLabs-onderzoeker Karla Agregado.
Het e-mailbericht is volgens het bedrijf afkomstig van een e-mailadresformaat dat het domein 'tijdelijk' gebruikt[.]link” en heeft Roundcube Webmail vermeld als de User-Agent-reeks.
Het HTML-bestand verwijst naar een link (“facturasmex[.]cloud”) die een foutmelding weergeeft met de melding “dit account is opgeschort”, maar wanneer het wordt bezocht vanaf een IP-adres met geolocatie in Mexico, wordt een CAPTCHA-verificatiepagina geladen die Cloudflare Turnstile gebruikt.
Deze stap maakt de weg vrij voor een omleiding naar een ander domein vanwaar een kwaadaardig RAR-bestand wordt gedownload. Het RAR-archief wordt geleverd met een PowerShell-script dat systeemmetagegevens verzamelt en controleert op de aanwezigheid van antivirussoftware op de aangetaste machine.
Het bevat ook verschillende Base64-gecodeerde strings die zijn ontworpen om PHP-scripts uit te voeren om het land van de gebruiker te bepalen en een ZIP-bestand uit Dropbox op te halen met “veel zeer verdachte bestanden”.
Trustwave zei dat de campagne overeenkomsten vertoont met die van Horabot-malwarecampagnes die zich in het verleden op Spaanstalige gebruikers in Latijns-Amerika richtten.
“Het is begrijpelijk dat phishing-campagnes, vanuit het perspectief van de dreigingsactoren, altijd een andere poging ondernemen [approaches] om kwaadaardige activiteiten te verbergen en onmiddellijke detectie te voorkomen”, aldus Agregado.
“Het gebruik van nieuw gecreëerde domeinen en deze alleen toegankelijk maken in specifieke landen is een andere ontwijkingstechniek, vooral als het domein zich anders gedraagt, afhankelijk van het doelland.”
De ontwikkeling komt op het moment dat Malwarebytes een malvertisingcampagne onthulde die gericht was op Microsoft Bing-zoekgebruikers met valse advertenties voor NordVPN die leidden tot de distributie van een trojan voor externe toegang genaamd SectopRAT (ook bekend als ArechClient) die op Dropbox wordt gehost via een nepwebsite (“besthord-vpn[.]com”).
“Malvertising laat nog steeds zien hoe gemakkelijk het is om heimelijk malware te installeren onder het mom van populaire softwaredownloads”, zegt beveiligingsonderzoeker Jérôme Segura. “Bedreigingsactoren kunnen snel en eenvoudig infrastructuur uitrollen om veel inhoudfilters te omzeilen.”
Het volgt ook op de ontdekking van een nep-Java Access Bridge-installatieprogramma dat dient als kanaal om de open-source XMRig cryptocurrency-miner te implementeren, volgens SonicWall.
Het netwerkbeveiligingsbedrijf zei dat het ook een Golang-malware heeft ontdekt die “meerdere geografische controles en openbaar beschikbare pakketten gebruikt om een screenshot van het systeem te maken voordat een rootcertificaat in het Windows-register wordt geïnstalleerd voor HTTPS-communicatie met de [command-and-control server].”
