wmtech logo

Ciberdelincuentes apuntando a América Latina con un sofisticado esquema de phishing

Luis Quiles
Luis Quiles
phishing
Seguridad Cibernética

Una nueva campaña de phishing ha puesto sus ojos en la región de América Latina para entregar cargas maliciosas a sistemas Windows.

«El correo electrónico de phishing contenía un archivo ZIP adjunto que, al ser extraído, revela un archivo HTML que lleva a una descarga de archivo malicioso haciéndose pasar por una factura», dijo la investigadora de Trustwave SpiderLabs, Karla Agregado.

La empresa indicó que el mensaje de correo electrónico proviene de una dirección de correo electrónico que utiliza el dominio «temporary[.]link» y tiene Roundcube Webmail listado como la cadena de agente de usuario.

El archivo HTML contiene un enlace («facturasmex[.]cloud») que muestra un mensaje de error que dice «esta cuenta ha sido suspendida», pero cuando se visita desde una dirección IP geolocalizada en México, carga una página de verificación de CAPTCHA que utiliza Cloudflare Turnstile.

Este paso allana el camino para redirigir a otro dominio desde donde se descarga un archivo RAR malicioso. El archivo RAR viene con un script de PowerShell que recopila metadatos del sistema y verifica la presencia de software antivirus en la máquina comprometida.

También incorpora varias cadenas codificadas en Base64 que están diseñadas para ejecutar scripts PHP para determinar el país del usuario y recuperar un archivo ZIP de Dropbox que contiene «muchos archivos altamente sospechosos».

Trustwave dijo que la campaña presenta similitudes con las campañas de malware Horabot que han dirigido a usuarios de habla hispana en América Latina en el pasado.

«Comprensiblemente, desde el punto de vista de los actores de amenazas, las campañas de phishing siempre intentan diferentes [enfoques] para ocultar cualquier actividad maliciosa y evitar la detección inmediata», dijo Agregado.

«Usar dominios recién creados y hacerlos accesibles solo en países específicos es otra técnica de evasión, especialmente si el dominio se comporta de manera diferente dependiendo del país objetivo».

El desarrollo se produce cuando Malwarebytes reveló una campaña de malvertising dirigida a usuarios de búsqueda de Microsoft Bing con anuncios falsos para NordVPN que conducen a la distribución de un troyano de acceso remoto llamado SectopRAT (también conocido como ArechClient) alojado en Dropbox a través de un sitio web falso («besthord-vpn[.]com»).

server

«El malvertising continúa mostrando lo fácil que es instalar malware de manera furtiva bajo la apariencia de descargas de software populares», dijo el investigador de seguridad Jérôme Segura. «Los actores de amenazas pueden implementar rápidamente infraestructura para eludir muchos filtros de contenido».

También sigue al descubrimiento de un instalador falso de Java Access Bridge que sirve como conducto para desplegar el minero de criptomonedas de código abierto XMRig, según SonicWall.

La empresa de seguridad de red también dijo que descubrió un malware Golang que «utiliza múltiples verificaciones geográficas y paquetes disponibles públicamente para tomar capturas de pantalla del sistema antes de instalar un certificado raíz en el registro de Windows para comunicaciones HTTPS con el servidor de comando y control».

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.