一场新的网络钓鱼活动将目光瞄准了拉丁美洲地区,向 Windows 系统传递恶意负载。
Trustwave SpiderLabs 研究员 Karla Agregado表示:“网络钓鱼电子邮件包含一个 ZIP 文件附件,提取后会显示一个 HTML 文件,该文件会导致冒充发票的恶意文件下载。”
该公司表示,该电子邮件消息源自使用域“temporary[.]link”的电子邮件地址格式,并将 Roundcube Webmail 列为用户代理字符串。
HTML 文件点包含一个链接(“facturasmex[.]cloud”),该链接显示一条错误消息,指出“此帐户已被暂停”,但当从位于墨西哥的 IP 地址访问时,会加载使用 Cloudflare Turnstile 的 CAPTCHA 验证页面。
此步骤为重定向到下载恶意 RAR 文件的另一个域铺平了道路。 RAR 存档附带一个 PowerShell 脚本,该脚本可收集系统元数据并检查受感染计算机中是否存在防病毒软件。
它还包含几个 Base64 编码的字符串,这些字符串旨在运行 PHP 脚本来确定用户所在的国家/地区,并从 Dropbox 检索包含“许多高度可疑文件”的 ZIP 文件。
Trustwave 表示,该活动与过去针对拉丁美洲西班牙语用户的Horabot恶意软件活动有相似之处。
“可以理解的是,从威胁行为者的角度来看,网络钓鱼活动总是尝试不同的[方法]来隐藏任何恶意活动并避免立即检测,”Agregado 说。
“使用新创建的域名并使其仅在特定国家/地区可访问是另一种规避技术。特别是当域名根据目标国家/地区的不同而表现不同时。”
与此同时,Malwarebytes 揭露了一项针对 Microsoft Bing 搜索用户的恶意广告活动,其中包含NordVPN的虚假广告,从而导致通过虚假网站(“besthord-vpn[.] com”)。
安全研究员杰罗姆·塞古拉 (Jérôme Segura)表示:“恶意广告继续表明,在流行软件下载的幌子下秘密安装恶意软件是多么容易。” “威胁行为者能够快速、轻松地部署基础设施来绕过许多内容过滤器。”
据 SonicWall 报道,还发现了一个假的 Java Access Bridge 安装程序,该安装程序可作为部署开源 XMRig 加密货币挖矿程序的渠道。
该网络安全公司表示,它还发现了一种Golang 恶意软件,该恶意软件“在将根证书安装到 Windows 注册表以与 [命令和控制服务器] 进行 HTTPS 通信之前,使用多个地理检查和公开可用的软件包来截取系统屏幕截图”。
发表评论
您还未登录,请先登录。
登录