09/04/24
По данным Trustwave SpiderLabs, на Латинскую Америку обрушилась новая фишинговая кампания, в ходе которой системы Windows заражаются вирусами через электронные письма.
Цепочка атаки начинается с рассылки электронных писем с вложением в виде ZIP-файла. После распаковки архива открывается HTML-файл, который перенаправляет пользователя на загрузку мошеннического файла, маскирующегося под счет-фактуру. Отправитель электронного письма использовал адрес с доменом «temporary[.]link», а в качестве почтового агента указан Roundcube Webmail.
Особенностью HTML-файла является ссылка, ведущая на страницу с сообщением о приостановке аккаунта. Это происходит при подключении не из Мексики. Однако при доступе с IP-адреса из Мексики, открывается страница с CAPTCHA от Cloudflare Turnstile, что является вводной для загрузки вредоносного RAR-архива. Данный архив содержит скрипт PowerShell, собирающий информацию о системе и проверяющий наличие антивирусного ПО на зараженном компьютере.
В архив включены строки, закодированные в Base64, предназначенные для выполнения PHP-скриптов, определяющих страну пользователя и загружающих ZIP-файл с Dropbox, содержащий «множество подозрительных файлов». Эксперты Trustwave отмечают, что данная кампания имеет схожие черты с предыдущей кампанией ботнета Horabot, направленной против испаноязычных пользователей в Латинской Америке.
