Uma nova campanha de phishing está mirando a região da América Latina para entregar cargas maliciosas a sistemas Windows. O e-mail de phishing contém um anexo em formato ZIP que, ao ser extraído, revela um arquivo HTML conduzindo ao download de um arquivo malicioso disfarçado de fatura.

O arquivo HTML contém um link (“facturasmex[.]cloud”) que exibe uma mensagem de erro indicando que “esta conta foi suspensa”. No entanto, quando acessado de um endereço IP localizado no México, carrega uma página de verificação CAPTCHA usando o Cloudflare Turnstile.

Esse procedimento abre caminho para um redirecionamento a outro domínio, de onde um arquivo RAR malicioso é baixado. O arquivo RAR contém um script PowerShell que coleta metadados do sistema e verifica a presença de software antivírus na máquina comprometida. O script também incorpora várias strings codificadas em Base64, projetadas para executar scripts PHP que determinam o país do usuário e recuperam um arquivo ZIP do Dropbox contendo muitos arquivos altamente suspeitos.