Yeni bir kimlik avı kampanyası, Windows sistemlerine kötü amaçlı yükler dağıtmak için gözlerini Latin Amerika bölgesine dikti.
Trustwave SpiderLabs araştırmacısı Karla Agregado, “Kimlik avı e-postası, çıkarıldığında fatura gibi görünen kötü amaçlı bir dosya indirmeye yol açan bir HTML dosyasını ortaya çıkaran bir ZIP dosyası eki içeriyordu.” söz konusu.
Şirket, e-posta mesajının “geçici” alan adını kullanan bir e-posta adresi biçiminden kaynaklandığını söyledi.[.]link” ve Kullanıcı Aracısı dizesi olarak Roundcube Webmail listelenmiştir.
Bir bağlantı içeren HTML dosyası noktaları (“facturasmex[.]”Bu hesap askıya alındı” diyen bir hata mesajı görüntüleyen, ancak coğrafi olarak Meksika’ya konumlanan bir IP adresinden ziyaret edildiğinde Cloudflare Turnikesini kullanan bir CAPTCHA doğrulama sayfası yükler.
Bu adım, kötü amaçlı bir RAR dosyasının indirildiği başka bir alana yönlendirmenin yolunu açar. RAR arşivi, sistem meta verilerini toplayan ve güvenliği ihlal edilen makinede antivirüs yazılımının varlığını kontrol eden bir PowerShell betiğiyle birlikte gelir.
Ayrıca, kullanıcının ülkesini belirlemek ve Dropbox’tan “çok sayıda şüpheli dosya” içeren bir ZIP dosyasını almak için PHP komut dosyalarını çalıştırmak üzere tasarlanmış Base64 kodlu birkaç dizeyi de içerir.
Trustwave, kampanyanın geçmişte Latin Amerika’da İspanyolca konuşan kullanıcıları hedef alan Horabot kötü amaçlı yazılım kampanyalarıyla benzerlikler gösterdiğini söyledi.
“Anlaşılacağı üzere, tehdit aktörlerinin bakış açısından kimlik avı kampanyaları her zaman farklı yöntemler denemektedir. [approaches] Agregado, herhangi bir kötü niyetli etkinliği gizlemek ve anında tespit edilmesini önlemek için” dedi.
“Yeni oluşturulan alan adlarını kullanmak ve bunları yalnızca belirli ülkelerde erişilebilir kılmak, başka bir kaçınma tekniğidir. Özellikle alan adı, hedef ülkeye bağlı olarak farklı davranıyorsa.”
Bu gelişme, Malwarebytes’in, NordVPN için sahte reklamlarla Microsoft Bing arama kullanıcılarını hedef alan, kötü amaçlı bir reklam kampanyasını ortaya çıkarmasıyla ortaya çıktı. uzaktan erişim trojanı isminde SectopRAT (aka ArechClient) sahte bir web sitesi (“besthord-vpn) aracılığıyla Dropbox’ta barındırılıyor[.]com”).
Güvenlik araştırmacısı Jérôme Segura, “Kötü amaçlı reklamcılık, popüler yazılım indirmeleri kisvesi altında gizlice kötü amaçlı yazılım yüklemenin ne kadar kolay olduğunu göstermeye devam ediyor.” söz konusu. “Tehdit aktörleri, birçok içerik filtresini atlayarak altyapıyı hızlı ve kolay bir şekilde kullanıma sunabiliyor.”
Aynı zamanda bir şeyin keşfini de takip ediyor sahte Java Erişim Köprüsü yükleyicisi SonicWall’a göre açık kaynaklı XMRig kripto para madencisini dağıtmak için bir kanal görevi görüyor.
Ağ güvenliği şirketi aynı zamanda bir şey keşfettiğini söyledi. Golang kötü amaçlı yazılımı HTTPS iletişimleri için Windows kayıt defterine bir kök sertifika yüklemeden önce sistemin ekran görüntüsünü almak için birden fazla coğrafi kontrol ve kamuya açık paketler kullanan [command-and-control server]”
