Expertos en ciberseguridad han identificado una nueva campaña de phishing que se dirige contra usuarios de Latinoamérica. Esta amenaza intenta introducir cargas útiles (payloads) maliciosas en sistemas Windows. Se trata de un correo electrónico de phishing que contiene un archivo ZIP adjunto. Al ser extraído, lanza un archivo HTML que conduce a la descarga de un archivo malicioso que se hace pasar por una factura.

El mensaje de correo electrónico se origina a partir de una dirección de correo que utiliza el dominio “temporal[.]link” y que tiene el cliente de correo Roundcube Webmail listado como la cadena User-Agent (la que contiene información sobre el usuario). El archivo HTML contiene un enlace (“facturasmex[.]nube”) que muestra un mensaje de error que dice “esta cuenta ha sido suspendida”. Pero cuando se visita desde una dirección IP geolocalizada en México, en realidad carga una página de verificación CAPTCHA.

Ese paso allana el camino para una redirección a otro dominio desde donde se descarga un nuevo archivo RAR malicioso. Este segundo archivo viene con un script PowerShell (una interfaz de consola de Windows) que recopila metadatos del sistema y comprueba la presencia de software antivirus en el dispositivo. 

Los expertos detallan que también incorpora varias cadenas codificadas en Base64, un sistema de numeración posicional. Diseñadas para ejecutar scripts PHP que determinan el país del usuario y recuperar un archivo ZIP de Dropbox que contiene archivos sospechosos. Se han hallado similitudes en esta campaña con otros tipos de malware, llamado Horabot, que ya se habían dirigido a usuarios de habla hispana en América Latina en el pasado.

Innovaciones en las estafas

Los criminales están creando campañas de phishing cada vez más diversas, con diferentes enfoques para ocultar la actividad maliciosa y evitar la detección inmediata del usuario. Utilizar dominios de nueva creación y hacerlos accesibles sólo en determinados países es una de las técnicas que se están viendo con más frecuencia. Sobre todo en ataques en los que el dominio se comporta de forma diferente en función del país de destino.

Por otro lado, en los últimos meses, los ataques de ingeniería social están yendo más allá del phishing basado en el correo electrónico para dirigirse a los objetivos a través de mensajes directos en plataformas de redes sociales como Facebook y LinkedIn. El objetivo es engañarlos para que descarguen malware o redirigirlos a páginas de robo de credenciales.

Recientemente también se ha identificado una campaña de publicidad maliciosa dirigida a los usuarios de búsqueda de Microsoft Bing con anuncios falsos de VPN que conducen a la distribución de un troyano de acceso remoto llamado SectopRAT (también conocido como ArechClient) alojado en Dropbox a través de un sitio web falso (“besthord-vpn[.]com”).

El malvertising

El malvertising es uno de los sistemas preferidos de los criminales para instalar subrepticiamente malware bajo la apariencia de descargas de software de programas conocidos. Los actores de amenazas son capaces de desplegar infraestructuras de forma rápida y sencilla para saltarse muchos filtros de contenidos.

Otra novedad en este sentido ha sido la detección de un instalador falso de Java Access Bridge. Que sirve como conducto para desplegar el minero de criptomoneda de código abierto XMRig. También se ha descubierto un malware llamado Golang que utiliza múltiples comprobaciones geográficas y paquetes disponibles públicamente para realizar capturas de pantalla del sistema antes de instalar un certificado raíz en el registro de Windows para captar las comunicaciones HTTPS al servidor de comando y control.