Обманчивая CAPTCHA: Латинская Америка страдает от новых способов фишинга

По данным Trustwave SpiderLabs, на Латинскую Америку обрушилась новая фишинговая кампания, в ходе которой системы Windows заражаются вирусами через электронные письма.

Цепочка атаки начинается с рассылки электронных писем с вложением в виде ZIP-файла. После распаковки архива открывается HTML-файл, который перенаправляет пользователя на загрузку мошеннического файла, маскирующегося под счет-фактуру. Отправитель электронного письма использовал адрес с доменом «temporary[.]link», а в качестве почтового агента указан Roundcube Webmail.

Особенностью HTML-файла является ссылка, ведущая на страницу с сообщением о приостановке аккаунта. Это происходит при подключении не из Мексики. Однако при доступе с IP-адреса из Мексики, открывается страница с CAPTCHA от Cloudflare Turnstile, что является вводной для загрузки вредоносного RAR-архива. Данный архив содержит скрипт PowerShell, собирающий информацию о системе и проверяющий наличие антивирусного ПО на зараженном компьютере.

Сообщение о приостановке аккаунта при доступе из другого региона (слева) и страница с CAPTCHA при подключении из Мексики (справа)

В архив включены строки, закодированные в Base64, предназначенные для выполнения PHP-скриптов, определяющих страну пользователя и загружающих ZIP-файл с Dropbox, содержащий «множество подозрительных файлов». Эксперты Trustwave отмечают, что данная кампания имеет схожие черты с предыдущей кампанией ботнета Horabot, направленной против испаноязычных пользователей в Латинской Америке.

Специалисты отметили, что использование новосозданных доменов и предоставление к ним доступа только в определенных странах — это еще один метод уклонения. Особенно если домен ведет себя по-разному в зависимости от целевой страны.