Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Латинская Америка страдает от новых способов фишинга (http://txgate.io:443/showthread.php?t=8472)

Artifact 05-02-2025 04:38 PM

Как счет-фактура обернулась вирусом и почему электронные письма стали такими опасными?
По данным Trustwave SpiderLabs, на Латинскую Америку обрушилась новая фишинговая кампания, в ходе которой системы Windows заражаются вирусами через электронные письма.
Цепочка атаки начинается с рассылки электронных писем с вложением в виде ZIP-файла. После распаковки архива открывается HTML-файл, который перенаправляет пользователя на загрузку мошеннического файла, маскирующегося под счет-фактуру. Отправитель электронного письма использовал адрес с доменом «temporary[.]link», а в качестве почтового агента указан Roundcube Webmail.
Особенностью HTML-файла является ссылка, ведущая на страницу с сообщением о приостановке аккаунта. Это происходит при подключении не из Мексики. Однако при доступе с IP-адреса из Мексики, открывается страница с CAPTCHA от Cloudflare Turnstile, что является вводной для загрузки вредоносного RAR-архива. Данный архив содержит скрипт PowerShell, собирающий информацию о системе и проверяющий наличие антивирусного ПО на зараженном компьютере.
https://www.securitylab.ru/upload/me...pkhbsa6no3.png
Сообщение о приостановке аккаунта при доступе из другого региона (слева) и страница с CAPTCHA при подключении из Мексики (справа)
В архив включены строки, закодированные в Base64, предназначенные для выполнения PHP-скриптов, определяющих страну пользователя и загружающих ZIP-файл с Dropbox, содержащий «множество подозрительных файлов». Эксперты Trustwave отмечают, что данная кампания имеет схожие черты с предыдущей кампанией ботнета Horabot, направленной против испаноязычных пользователей в Латинской Америке.
Специалисты отметили, что использование новосозданных доменов и предоставление к ним доступа только в определенных странах — это еще один метод уклонения. Особенно если домен ведет себя по-разному в зависимости от целевой страны.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phishing-deception-suspended-domains-reveal-malicious-payload-for-latin-american-region/</pre>


All times are GMT. The time now is 04:56 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.