Фишинговое письмо содержит вложение в виде ZIP-файла, при извлечении которого открывается HTML-файл, ведущий к загрузке вредоносного файла, выдаваемого за счет-фактуру. Вложенный HTML-файл содержит конкатенированный URL-адрес, который ведет на приостановленную страницу при доступе в другом регионе.
Однако при обращении к URL с мексиканского IP-адреса происходит перенаправление на страницу captcha для проверки человеком, которая ведет на другой URL, загружающий вредоносный RAR-файл. RAR-файл содержит сценарий PowerShell, который проверяет машину жертвы на наличие такой информации, как имя компьютера, операционная система и т. д. Он также проверит наличие антивирусного продукта. В скрипте было обнаружено несколько строк в кодировке base64, одна из которых при расшифровке содержит еще один URL-запрос, использующий метод 'Post' для URL-ответа. Декодированный URL проверяет страну пользователя. Другая заметная строка в кодировке base64 содержит вредоносный URL, который загружает вредоносный ZIP-файл.
Целевые геолокации
- Мексика
- Южная Америка
- Центральная Америка и Карибский бассейн
- Северная Америка
Indicators of Compromise
IPv4
- 86.38.217.167
URLs
- http://86.38.217.167/ps/index.php
- http://ad2.gotdns.ch/22/22
- https://facturas.co.in/index.php?va
- https://www.dropbox.com/scl/fi/k6hxua7lwt1qcgmqou6q3/m.zip?rlkey=7wu6x4pfvbt64atx11uqpk34l&dl=1