One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8476654 |
| Date de publication | 2024-04-05 18:15:05 (vue: 2024-04-05 19:08:17) |
| Titre | Déception de phishing - Les domaines suspendus révèlent une charge utile malveillante pour la région d'Amérique latine Phishing Deception - Suspended Domains Reveal Malicious Payload for Latin American Region |
| Texte | #### Géolocations ciblées
- Mexique
- Amérique du Sud
- L'Amérique centrale et les Caraïbes
- Amérique du Nord
## Instantané
Trustwave SpiderLabs a découvert une campagne de phishing ciblant la région latino-américaine.
## Description
L'e-mail de phishing contient une pièce jointe de fichiers zip qui, lorsqu'elle est extraite, révèle un fichier HTML qui mène à un téléchargement de fichiers malveillant se faisant passer pour une facture.Le fichier HTML joint contient une URL concaténée qui conduit à une page suspendue lorsqu'elle est accessible dans une autre région.Cependant, si l'URL est accessible à l'aide d'une IP basée au Mexique, elle redirigera vers une page CAPTCHA pour la vérification humaine, ce qui mène à une autre URL qui téléchargera un fichier RAR malveillant.Le fichier RAR contient un script PowerShell qui vérifiera la machine de la victime pour des informations telles que le nom de l'ordinateur, le système d'exploitation, etc. Il vérifiera également la présence d'un produit antivirus.Plusieurs chaînes codées Base64 dans le script ont été observées, dont une, lorsqu'elle est décodée, contient une autre demande d'URL qui utilise la méthode \\ 'post \' pour la réponse URL.L'URL décodée vérifiera le pays de l'utilisateur.Une autre chaîne codée notable Base64 contient une URL malveillante qui téléchargera un fichier zip malveillant.
## Les références
[https://www.trustwave.com/en-us/resources/blogs/spiderLabs-log/phishing-decection-suspedend-domains-reveal-malicious-payload-for-latin-american-region//www.trustwave.com/en-us/resources/blogs/spiderLabs-log/phishing-decection-suspedend-domains-reveal-malicious-payload-for-latin-american-region/)
#### Targeted Geolocations - Mexico - South America - Central America and the Caribbean - North America ## Snapshot Trustwave SpiderLabs has discovered a phishing campaign targeting the Latin American region. ## Description The phishing email contains a ZIP file attachment that, when extracted, reveals an HTML file that leads to a malicious file download posing as an invoice. The attached HTML file contains a concatenated URL that leads to a suspended page when accessed in a different region. However, if the URL is accessed using a Mexico-based IP, it will redirect to a captcha page for human verification, which leads to another URL that will download a malicious RAR file. The RAR file contains a PowerShell script that will check the victim\'s machine for information like computer name, operating system, etc. It will also check for the presence of an antivirus product. Several base64 encoded strings in the script were observed, one of which, when decoded, contains another URL request that uses the \'Post\' method for the URL response. The decoded URL will check for the user\'s country. Another notable base64 encoded string contains a malicious URL that will download a malicious ZIP file. ## References [https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phishing-deception-suspended-domains-reveal-malicious-payload-for-latin-american-region/](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phishing-deception-suspended-domains-reveal-malicious-payload-for-latin-american-region/) |
| Envoyé | Oui |
| Condensat | #### accessed also america american another antivirus attached attachment base64 based blog/phishing campaign captcha caribbean central check com/en computer concatenated contains country deception decoded description different discovered domains download email encoded etc extracted file geolocations has however html https://www human information invoice latin leads like machine malicious method mexico name north notable observed one operating page payload phishing posing post powershell presence product rar redirect references region region/ request response reveal reveals script several snapshot south spiderlabs string strings suspended system targeted targeting trustwave url us/resources/blogs/spiderlabs user uses using verification victim when which will zip |
| Tags | |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.