Новая атака вредоносного ПО была обнаружена аналитиком в области кибербезопасности Мигелем Бессерра. В данном случае киберпреступники создали поддельный сайт, который имитирует Налоговую службу (SAT) Мексики, с целью убедить пользователей выполнить вредоносный код на своих компьютерах. Этот код, после выполнения, работает как загрузчик, который загружает и исполняет дополнительные файлы в системе жертвы.
При доступе к мошенническому сайту portalsatmx[.]com пользователи обманываются всплывающим окном, которое настоятельно предлагает следовать так называемым "мерам безопасности". На самом деле им предлагают скопировать и выполнить код в PowerShell под предлогом законной процедуры безопасности. Этот код содержит ссылку на файл, который загружает вредоносное ПО в папку APPDATA Windows и компрометирует безопасность устройства жертвы.
Этот тип атаки особенно опасен, так как предоставляя административные права вредоносному ПО, пользователи позволяют ему обойти традиционные средства безопасности, такие как антивирусы. Риски, связанные с этой угрозой, включают удаленное выполнение вредоносного кода, кражу учетных данных и личной информации, установку шпионских программ и сохранение вредоносного ПО в системе даже после удаления исходного кода.
Чтобы защититься от такого рода угроз, эксперты рекомендуют не выполнять команды из неизвестных источников, всегда проверять официальный URL SAT (www.sat.gob.mx), не вводить личную информацию на непроверенных страницах и поддерживать актуальность систем и программ безопасности. Этот modus operandi атаки имеет схожие черты с предыдущей кампанией, обнаруженной в 2024 году Германом Фернандезом, где использовалась аналогичная схема для распространения FenixBotnet через поддельные вызовы от SAT, отправляемые через SMS.
