Yeni bir kimlik avı kampanyası, Windows sistemlerine kötü amaçlı yükler dağıtmak için gözlerini Latin Amerika bölgesine dikti.
Trustwave SpiderLabs araştırmacısı Karla Agregado, “Kimlik avı e-postası, çıkarıldığında fatura gibi görünen kötü amaçlı bir dosya indirmeye yol açan bir HTML dosyasını ortaya çıkaran bir ZIP dosyası eki içeriyordu.” dedi.
Şirket, e-posta mesajının “geçici” alan adını kullanan bir e-posta adresi biçiminden kaynaklandığını söyledi.[.]link” ve Kullanıcı Aracısı dizesi olarak Roundcube Webmail listelenmiştir.
Bir bağlantı içeren HTML dosyası noktaları (“facturasmex[.]”Bu hesap askıya alındı” diyen bir hata mesajı görüntüleyen, ancak coğrafi olarak Meksika’ya konumlanan bir IP adresinden ziyaret edildiğinde Cloudflare Turnikesini kullanan bir CAPTCHA doğrulama sayfası yükler.
Bu adım, kötü amaçlı bir RAR dosyasının indirildiği başka bir alana yönlendirmenin yolunu açar. RAR arşivi, sistem meta verilerini toplayan ve güvenliği ihlal edilen makinede antivirüs yazılımının varlığını kontrol eden bir PowerShell betiğiyle birlikte gelir.
Ayrıca, kullanıcının ülkesini belirlemek ve Dropbox’tan “çok sayıda şüpheli dosya” içeren bir ZIP dosyasını almak için PHP komut dosyalarını çalıştırmak üzere tasarlanmış Base64 kodlu birkaç dizeyi de içerir.
Trustwave, kampanyanın geçmişte Latin Amerika’da İspanyolca konuşan kullanıcıları hedef alan Horabot kötü amaçlı yazılım kampanyalarıyla benzerlikler gösterdiğini söyledi.
“Anlaşılacağı üzere, tehdit aktörlerinin bakış açısından kimlik avı kampanyaları her zaman farklı yöntemler denemektedir. [approaches] Agregado, herhangi bir kötü niyetli etkinliği gizlemek ve anında tespit edilmesini önlemek için” dedi.
“Yeni oluşturulan alan adlarını kullanmak ve bunları yalnızca belirli ülkelerde erişilebilir kılmak, başka bir kaçınma tekniğidir. Özellikle alan adı, hedef ülkeye bağlı olarak farklı davranıyorsa.”
Bu gelişme, Malwarebytes’in, sahte bir web sitesi (“besthord-vpn) aracılığıyla Dropbox’ta barındırılan SectopRAT (diğer adıyla ArechClient) adlı bir uzaktan erişim truva atının dağıtımına yol açan, NordVPN için sahte reklamlarla Microsoft Bing arama kullanıcılarını hedef alan bir kötü amaçlı reklam kampanyasını ortaya çıkarmasıyla ortaya çıktı.[.]com”).
Güvenlik araştırmacısı Jérôme Segura, “Kötü amaçlı reklamcılık, popüler yazılım indirmeleri kisvesi altında gizlice kötü amaçlı yazılım yüklemenin ne kadar kolay olduğunu göstermeye devam ediyor” dedi. “Tehdit aktörleri, birçok içerik filtresini atlayarak altyapıyı hızlı ve kolay bir şekilde kullanıma sunabiliyor.”
Bu aynı zamanda SonicWall’a göre açık kaynaklı XMRig kripto para madencisini dağıtmak için bir kanal görevi gören sahte bir Java Erişim Köprüsü yükleyicisinin keşfini de takip ediyor.
Ağ güvenliği şirketi ayrıca, “birden fazla coğrafi kontrol ve kamuya açık paketler kullanarak, Windows kayıt defterine HTTPS iletişimleri için bir kök sertifika yüklemeden önce sistemin ekran görüntüsünü alan bir Golang kötü amaçlı yazılımı keşfettiğini” söyledi. [command-and-control server]”