Μια νέα εκστρατεία phishing στοχεύει χρήστες στη Λατινική Αμερική, με στόχο να μολύνει συστήματα Windows.
“Το phishing email περιείχε ένα συνημμένο αρχείο ZIP, που αποκαλύπτει ένα αρχείο HTML. Αυτό με τη σειρά του, οδηγεί σε λήψη κακόβουλου αρχείου που παρουσιάζεται ως τιμολόγιο“, δήλωσε η ερευνήτρια της Trustwave SpiderLabs, Karla Agregado.
Το μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από μια διεύθυνση email που χρησιμοποιεί το domain “temporary[.]link” και έχει το Roundcube Webmail που αναφέρεται ως User-Agent string.
Δείτε επίσης: Νέα phishing καμπάνια διανέμει το Rhadamanthys malware
Το αρχείο HTML περιέχει έναν σύνδεσμο (“facturasmex[.]cloud”) που εμφανίζει ένα μήνυμα σφάλματος (“αυτός ο λογαριασμός έχει τεθεί σε αναστολή”). Αλλά αν προσπαθήσει κάποιος να μπει από μια διεύθυνση IP που βρίσκεται γεωγραφικά στο Μεξικό, εμφανίζεται μια σελίδα επαλήθευσης CAPTCHA που χρησιμοποιεί το Cloudflare Turnstile.
Αυτό το βήμα ανοίγει το δρόμο για μια ανακατεύθυνση σε άλλο domain, από όπου γίνεται λήψη ενός κακόβουλου αρχείου
RAR. Το αρχείο RAR συνοδεύεται από ένα PowerShell script που συλλέγει μεταδεδομένα συστήματος και ελέγχει αν χρησιμοποιείται antivirus λογισμικό στο παραβιασμένο μηχάνημα.Ενσωματώνει επίσης πολλά Base64-encoded strings που εκτελούν PHP scripts για τον προσδιορισμό της χώρας του χρήστη και την ανάκτηση ενός αρχείου ZIP από το Dropbox, που περιέχει “πολλά εξαιρετικά ύποπτα αρχεία”.
Δείτε επίσης: Η Google αποκλείει spoofed emails για προστασία από phishing
“Οι εκστρατείες phishing δοκιμάζουν πάντα διαφορετικές προσεγγίσεις για να αποκρύψουν οποιαδήποτε κακόβουλη δραστηριότητα και να αποφύγουν τον άμεσο εντοπισμό“, είπε η Agregado. “Η χρήση νέων domain και η πρόσβαση σε αυτά μόνο σε συγκεκριμένες χώρες είναι μια άλλη τεχνική διαφυγής, ειδικά εάν το domain συμπεριφέρεται διαφορετικά ανάλογα με τη χώρα-στόχο“.
Σε αυτή τη phishing καμπάνια, οι στόχοι ήταν χώρες στη Λατινική Αμερική.
Τα παραπάνω δείχνουν ότι υπάρχει μεγάλη ανάγκη να ληφθούν κάποια μέτρα προστασίας έναντι των phishing emails. Ας δούμε μερικά από αυτά:
- Χρήση email spam filters
- Προστασία συσκευών με λογισμικό προστασίας από ιούς
- Τακτική ενημέρωση λογισμικού
- Χρήση ενός μοναδικού κωδικού πρόσβασης για καθέναν από τους διαδικτυακούς λογαριασμούς
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων
- Δημιουργία αντιγράφων ασφαλείας
Δείτε επίσης: Phishing emails διανέμουν το Venom RAT σε εταιρείες στη Λατινική Αμερική
Εάν μιλάμε για επιχειρήσεις, τότε απαραίτητα είναι και κάποια έξτρα μέτρα:
- Ενημέρωση προσωπικού για νέες απειλές και εκπαίδευση με δοκιμαστικές phishing επιθέσεις
- Παρακολούθηση και προστασία των endpoints
- Περιορισμός πρόσβασης σε σημαντικά συστήματα
- Τμηματοποίηση δικτύου
Αν οι χρήστες και οι οργανισμοί λάβουν τα παραπάνω μέτρα, μπορούν να είναι προστατευμένοι σε μεγάλο βαθμό.
Πηγή: thehackernews.com