Una nuova campagna di phishing ha puntato la sua attenzione sulla regione parte meridionale del continente americano (la cosiddetta America Latina) per consegnare carichi dannosi ai sistemi Windows.
In cosa consiste questa campagna di Phishing nell’America Latina
“La email di phishing conteneva un allegato file ZIP che, una volta estratto, rivela un file HTML che porta a un download di file malevolo, mascherato da fattura“, ha detto la ricercatrice di Trustwave SpiderLabs, Karla Agregado.
Secondo l’azienda, il messaggio email proviene da un indirizzo email che utilizza il dominio “temporary[.]link” e ha Roundcube Webmail elencato come stringa User-Agent.
Il file HTML contiene un link (“facturasmex[.]cloud”) che visualizza un messaggio di errore dicendo “questo account è stato sospeso“, ma quando visitato da un indirizzo IP geolocalizzato in Messico, carica una pagina di verifica CAPTCHA che utilizza Cloudflare Turnstile.
Questo passaggio apre la strada a un reindirizzamento su un altro dominio da cui viene scaricato un file RAR maligno; l’archivio RAR è fornito con uno script PowerShell che raccoglie i metadati di sistema e controlla la presenza di software antivirus nel computer compromesso, affinché il dispositivo non si difenda per l’appunto dall’attacco phishing.
Incorpora anche diverse stringhe codificate in Base64 progettate per eseguire script PHP per determinare il paese dell’utente e recuperare un file ZIP da Dropbox contenente “molti file altamente sospetti”.
Trustwave ha detto che la campagna presenta somiglianze con quelle delle campagne malware di Horabot che hanno preso di mira gli utenti di lingua spagnola in America Latina in passato.
“Comprensibilmente, dal punto di vista dei criminali informatici, le campagne di phishing cercano sempre approcci diversi per nascondere qualsiasi attività maligna ed evitare una rilevazione immediata“, ha detto pertanto Karla Agregado che ha poi aggiunto che “l’utilizzo di domini appena creati e renderli accessibili solo in specifici paesi è un’altra tecnica di evasione, specialmente se il dominio si comporta in modo diverso a seconda del paese target“.
Lo sviluppo arriva mentre Malwarebytes ha rivelato una campagna di malvertising che mira agli utenti di ricerca di Microsoft Bing con annunci falsi per NordVPN che portano alla distribuzione di un trojan di accesso remoto che corrisponde al nome di SectopRAT (anche noto come ArechClient) ospitato su Dropbox tramite un sito web falso (“besthord-vpn[.]com”).
“Il malvertising continua a mostrare quanto sia facile installare clandestinamente malware sotto mentite spoglie di download di software popolari“, ha detto il ricercatore di sicurezza Jérôme Segura, aggiungendo che “i criminali informatici sono in grado di implementare infrastrutture in modo rapido e semplice per eludere molti filtri di contenuti“.
Segue anche la scoperta di un falso installer di Java Access Bridge che funge da condotto per distribuire il miner di criptovaluta open-source XMRig, secondo SonicWall.
L’azienda di sicurezza di rete ha detto di aver scoperto anche un malware basato su Golang che “utilizza controlli geografici multipli e pacchetti disponibili pubblicamente per catturare uno screenshot del sistema prima di installare un certificato di ROOT nel registro di Windows per comunicazioni HTTPS con il [server di comando e controllo]“.
Phishing, non propriamente un vero e proprio attacco
Questi casi capitano (soprattutto) a persone che sono inesperte nella navigazione, purtroppo molte persone sono solite a scaricare qualunque cosa senza spesso controllare la fonte dalla quale viene.
Questo caso riguarda in particolar modo gli utenti Windows, purtroppo molto spesso l’utende medio Windows è ben lungi dall’essere una cima; molti utenti poi (a torto), disattivano Windows Defender considerandolo un pessimo antivirus, quando la realtà è ben diversa.
In questi casi non esistono aggiornamenti o patch che tengano, servirebbe non tanto saper usare in modo decente un computer, quanto capire quello che si fa quando si naviga su internet, perché pratiche come il phishing sono proprio rivolte verso utenti poco esperti.