Пользователи, которые ищут способы бесплатно активировать программное обеспечение Adobe, рискуют столкнуться с новой фишинговой схемой. Злоумышленники создали поддельную страницу, которая якобы содержит руководство по активации, но на деле заставляет жертву самостоятельно запустить вредоносную команду. В результате на компьютер попадает стилер Lumma - программа, предназначенная для кражи учётных данных, файлов cookie и криптовалютных кошельков. Эта атака использует технику ClickFix: вместо автоматической загрузки вредоносного файла сайт предлагает пользователю скопировать и выполнить команду в терминале. Такой подход обходит многие автоматические средства защиты, которые не анализируют ручной ввод команд.
Описание
Исследователь, изучавший фишинговые ресурсы, наткнулся на подозрительный сайт, размещённый на платформе Cloudflare Pages по адресу hxxps://zipsage.pages.dev. Страница оформлена как руководство по активации Adobe: на ней крупным шрифтом написана инструкция, а пользователя просят открыть PowerShell и вставить команду. В этой команде после декодирования из Base64 обнаружился вызов Invoke-RestMethod для скачивания удалённого скрипта и немедленного его выполнения через Invoke-Expression. Таким образом, жертва сама запускает первый этап заражения, считая, что выполняет легальную активацию.
В своём отчёте специалист детально разобрал последующие этапы. Скачанный PowerShell-скрипт, названный script.ps1, загружает уже JavaScript-файл с той же инфраструктуры и запускает его скрыто через wscript.exe, используя временную папку. Сам JavaScript оказался сильно обфусцирован и выполнял функции загрузчика. Он скачивал исполняемый файл с другого поддомена Cloudflare Pages - hxxps://get-1o8.pages[.]dev/putty.exe, сохранял его в %TEMP%, запускал, дожидался завершения, а затем удалял и сам файл, и собственный скрипт. Такое поведение явно нацелено на уничтожение следов присутствия вредоносного кода, затрудняя анализ со стороны систем защиты и специалистов по реагированию на инциденты.
Когда исследователь запустил образец в изолированной среде, он зафиксировал множественные DNS-запросы и HTTP-трафик к доменам, зарегистрированным в зоне .lat. Среди них - sustainskelet[.]lat, sweepyribs[.]lat, grannyejh[.]lat, discokeyus[.]lat, necklacebudi[.]lat, energyaffai[.]lat, aspecteirs[.]lat, crosshuaht[.]lat, rapeflowwj[.]lat. Вредоносная программа постоянно отправляла POST-запросы на эндпоинты /api этих доменов. Подобная сетевая активность характерна для стилера Lumma, который после сбора данных отправляет их на управляющие серверы. Lumma Stealer известен как коммерческая вредоносная программа, продаваемая в даркнете по подписке. Она нацелена на кражу паролей из браузеров, данных сессий, информации криптовалютных расширений и файлов с рабочего стола.
Использование Cloudflare Pages в этой схеме неслучайно. Платформа предоставляет бесплатный хостинг с HTTPS, что придаёт фишинговым страницам видимость легитимности. Кроме того, злоумышленники могут быстро создавать и менять поддомены, что затрудняет блокировку. Уже не первый случай, когда Cloudflare Pages используется для распространения вредоносного ПО: ранее специалисты фиксировали там фальшивые страницы обновления браузеров и установщики троянов. Теперь к этому списку добавились поддельные руководства по активации Adobe.
Атака рассчитана на пользователей, которые пытаются сэкономить на лицензионном ПО. Техника ClickFix здесь особенно коварна, потому что жертва самостоятельно вводит команду, и традиционные антивирусы могут не среагировать - они часто не отслеживают действия в PowerShell, если пользователь запускает скрипт вручную. К тому же удаление вредоносных артефактов после выполнения снижает шансы на обнаружение. Всё это делает кампанию опасной для обычных сотрудников компаний, которые могут искать способы активации Adobe на рабочих машинах, и для домашних пользователей.
Специалисты рекомендуют не доверять страницам, которые предлагают выполнять команды в консоли для активации программного обеспечения. Единственный безопасный способ получить лицензионный продукт - скачать его с официального сайта Adobe или приобрести в проверенных магазинах. Если же пользователь уже выполнил подобную команду, необходимо немедленно отключить компьютер от сети, запустить полную проверку антивирусом и сменить все пароли, особенно на критических сервисах. В корпоративной среде стоит ограничить использование PowerShell для обычных пользователей и настроить политики выполнения скриптов.
Пока неизвестно, сколько жертв успела привлечь эта кампания. Однако сам факт появления нового метода распространения стилера через фишинговые страницы на Cloudflare Pages сигнализирует о продолжающейся эволюции атак. Злоумышленники адаптируются к современным защитным механизмам, перенося акцент с автоматической загрузки на социальную инженерию, где решающее действие совершает сам человек. Игнорировать эту тенденцию нельзя.
Индикаторы компрометации
Domains
- aspecteirs.lat
- crosshuaht.lat
- discokeyus.lat
- energyaffai.lat
- get-1o8.pages.dev
- grannyejh.lat
- necklacebudi.lat
- rapeflowwj.lat
- steamcommunity.com
- sustainskelet.lat
- sweepyribs.lat
- zipsage.pages.dev
URLs
- https://get-1o8.pages.dev/putty.exe
- https://get-1o8.pages.dev/script.js
- https://get-1o8.pages.dev/script.ps1
- https://zipsage.pages.dev
MD5
- 3b8d7692966df16dde1da2887378e062
