Les cybercriminels ciblent l’Amérique latine avec un système de phishing sophistiqué
Une nouvelle campagne de phishing vise la région latino-américaine pour transmettre des charges utiles malveillantes aux systèmes Windows.
“L’e-mail de phishing contenait une pièce jointe ZIP qui, une fois extraite, révèle un fichier HTML conduisant à un téléchargement de fichier malveillant se faisant passer pour une facture”, a déclaré Karla Agregado, chercheuse chez Trustwave SpiderLabs .
Le message électronique, a indiqué la société, provient d’un format d’adresse e-mail qui utilise le domaine “temporary[.]link” et dont Roundcube Webmail est répertorié comme chaîne User-Agent.
Le fichier HTML contient un lien (“facturasmex[.]cloud”) qui affiche un message d’erreur indiquant “ce compte a été suspendu”, mais lorsqu’il est visité à partir d’une adresse IP géolocalisée au Mexique, il charge une page de vérification CAPTCHA qui utilise Cloudflare Turnstile. .
Cette étape ouvre la voie à une redirection vers un autre domaine à partir duquel un fichier RAR malveillant est téléchargé. L’archive RAR est livrée avec un script PowerShell qui rassemble les métadonnées du système et vérifie la présence d’un logiciel antivirus sur la machine compromise.
Il intègre également plusieurs chaînes codées en Base64 conçues pour exécuter des scripts PHP afin de déterminer le pays de l’utilisateur et de récupérer un fichier ZIP de Dropbox contenant « de nombreux fichiers hautement suspects ».
Trustwave a déclaré que la campagne présente des similitudes avec celle des campagnes de logiciels malveillants Horabot qui ont ciblé les utilisateurs hispanophones en Amérique latine dans le passé.
« Naturellement, du point de vue des acteurs de la menace, les campagnes de phishing tentent toujours différentes [approches] pour masquer toute activité malveillante et éviter une détection immédiate », a déclaré Agregado.
“Utiliser des domaines nouvellement créés et les rendre accessibles uniquement dans des pays spécifiques est une autre technique d’évasion. surtout si le domaine se comporte différemment selon le pays cible.”
Ce développement intervient alors que Malwarebytes a révélé une campagne de publicité malveillante ciblant les utilisateurs de recherche Microsoft Bing avec de fausses publicités pour NordVPN qui conduisaient à la distribution d’un cheval de Troie d’accès à distance appelé SectopRAT (alias ArechClient) hébergé sur Dropbox via un faux site Web (“besthord-vpn[.] com »).
“La publicité malveillante continue de montrer à quel point il est facile d’installer subrepticement des logiciels malveillants sous couvert de téléchargements de logiciels populaires”, a déclaré le chercheur en sécurité Jérôme Segura . « Les acteurs malveillants sont capables de déployer une infrastructure rapidement et facilement pour contourner de nombreux filtres de contenu. »
Cela fait également suite à la découverte d’un faux programme d’installation de Java Access Bridge qui sert de canal pour déployer le mineur de crypto-monnaie open source XMRig, selon SonicWall.
La société de sécurité réseau a déclaré avoir également découvert un malware Golang qui “utilise plusieurs vérifications géographiques et des packages accessibles au public pour capturer le système avant d’installer un certificat racine dans le registre Windows pour les communications HTTPS avec le [serveur de commande et de contrôle]”.