Новая волна фишинга, нацеленная на бразильских пользователей, демонстрирует, как современное финансовое вредоносное ПО превратилось из простого инструмента кражи паролей в полноценную платформу для мошенничества с участием оператора. Кампания маскируется под судебную повестку от федерального суда Бразилии и использует многоэтапную доставку вредоносных компонентов вместе с возможностью удалённого управления в реальном времени. Речь идёт не просто о фишинге: злоумышленник получает прямой канал вторжения в финансовые операции жертвы и может участвовать в них так, словно сидит за тем же компьютером.
Описание
Вредоносная программа, получившая внутреннее название agenteV2, представляет собой интерактивный бэкдор (программная закладка с удалённым доступом), который после установки транслирует экран жертвы атакующему в реальном времени. Это позволяет оператору вручную наблюдать за рабочим столом, дожидаться открытия банковского портала и перехватывать управление сессией. Вредонос нацелен на кражу учётных данных и сессий семи крупнейших бразильских финансовых учреждений - Itaú, Banco do Brasil, Caixa Econômica Federal, Bradesco, Santander, Inter и Stone, а также пяти популярных расширений для криптокошельков. Кроме того, программа проверяет наличие на системе специализированных бразильских антифрод-решений Diebold Warsaw и GbPlugin, что указывает на тщательное изучение экосистемы финансовой безопасности региона.
Атака начинается с электронного письма, которое имитирует официальную судебную повестку от Суда федерального округа Бразилии. Письмо содержит вложенный PDF-файл, защищённый паролем. Такая защита позволяет обойти песочницы шлюзов электронной почты, которые не могут открыть запароленный документ. Когда жертва вводит пароль и не видит содержимого (поддельная ошибка), PDF предлагает скачать VBS-файл по ссылке, якобы для установки недостающего компонента. Этот двухшаговый сценарий отсеивает незаинтересованных получателей и повышает вовлечённость тех, кто переходит по ссылке.
После запуска VBS-сценария начинается загрузка полезной нагрузки (вредоносных исполняемых файлов). Сначала скачивается reiniciar.exe, затем wifi_driver.exe, который маскируется под драйвер Wi-Fi. Оба файла сохраняются в каталог C:\Program Files (x86)\Wi-fi\. Механизмы закрепления в системе (persistence) реализованы тремя способами: запись в реестр HKCU\Run\MonitorSystem и две запланированные задачи с максимальными привилегиями (/rl highest). Для обхода контроля учётных записей Windows (UAC) VBS-загрузчик повторно запускает себя с повышенными правами, используя уже созданные задачи.
Сердце кампании - DLL-библиотека agenteV2_historico_detect.dll размером около 27 мегабайт. Она скомпилирована с помощью утилиты Nuitka, преобразующей исходный код Python в нативный машинный код. Это делает невозможным извлечение байткода стандартными дизассемблерами, хотя оператор не удосужился удалить из бинарника отладочные строки и имена переменных, что облегчает анализ экспертам. DLL устанавливает постоянное соединение через веб-сокет (протокол live-канала связи) с сервером управления, получая оттуда команды. Оператор может транслировать экран жертвы, выполнять команды через удалённую оболочку и взаимодействовать с открытыми сессиями браузера.
Кража учётных данных происходит по-хитрому: для обхода блокировки файлов SQLite, которые удерживаются запущенным браузером, вредонос копирует базы данных Login Data, Cookies и History во временную папку и уже оттуда извлекает сохранённые пароли.
Ключевая особенность кампании - использование Pastebin для динамического получения адреса сервера управления. Вредонос читает публичную страницу pastebin[.]com/raw/0RmxqY57, где в открытом виде указан IP и порт C2-сервера. Таким образом злоумышленник может сменить инфраструктуру, изменив одну строку на Pastebin, без перекомпиляции или переустановки вредоноса на уже скомпрометированных машинах. В ходе анализа был выявлен сервер 38.242.246[.]176 на порту 8443, размещённый у хостинг-провайдера Contabo в Германии. На этом же сервере работают почтовые порты (SMTP), что указывает на то, что фишинговые письма отправляются с той же инфраструктуры.
Отчёт компании ANY.RUN, предоставившей подробный технический разбор кампании, подчёркивает, что agenteV2 не просто пассивный похититель, а полноценный инструмент для ручного мошенничества с участием человека. Наличие уникального идентификатора жертвы в запросах (?id=3df947b3) говорит о том, что атакующие отслеживают каждое заражение индивидуально и могут выбирать цели для активной атаки.
Для организаций, особенно тех, чьи сотрудники работают с бразильскими контрагентами или имеют доступ к корпоративным финансам, эта угроза означает прямое поражение бизнес-критичных активов. Финансовые потери могут наступить в течение нескольких минут после заражения, прежде чем сработают традиционные системы оповещения. Механизмы закрепления позволяют вредоносу переживать перезагрузки и обычные процедуры ИТ-обслуживания, а благодаря Pastebin-резолверу блокировка одного IP бесполезна - злоумышленник мгновенно переключается на другой.
Стандартные антивирусные решения вряд ли обнаружат эту угрозу: DLL скомпилирована в нативный код, файлы маскируются под легитимные имена, а полезная нагрузка выполняется полностью в памяти. Надёжным методом выявления остаётся поведенческий анализ в песочницах, а также сетевые детекторы, использующие отпечатки TLS-рукопожатия. В отчёте приведён JA3-хэш a48c0d5f95b1ef98f560f324fd275da1, который можно использовать для блокировки трафика независимо от смены IP.
Вывод очевиден: фишинг давно перестал быть простым способом доставки вредоносных вложений. Он превратился в шлюз для полноценного интерактивного финансового мошенничества, где атакующий видит экран жертвы, ждёт удобного момента и нажимает кнопки сам. Компаниям, работающим с Бразилией или имеющим сотрудников в регионе, стоит пересмотреть подходы к защите: одних только блокаторов IP и антивирусов недостаточно - требуется поведенческий анализ, мониторинг нестандартных сетевых соединений и оперативная интеграция индикаторов компрометации в SIEM и EDR.
Индикаторы компрометации
IPv4
- 172.66.171.73
- 38.242.246.176
- 69.49.241.120
Domains
- nuevaprodeciencia.club
- odaracani.online
- vmi3003111.contaboserver.net
URLs
- https://nuevaprodeciencia.club/br77b/arquivos/download.php?id_69bb7d47c15e9
- https://nuevaprodeciencia.club/br77b/arquivos/download/base.php?LpHQPCBwX=766760
- https://nuevaprodeciencia.club/br77b/arquivos/download/msedge03.exe
- https://nuevaprodeciencia.club/br77b/arquivos/download/msedge04.exe
- https://nuevaprodeciencia.club/br77b/arquivos/download/reiniciar.exe
- https://nuevaprodeciencia.club/br77b/download.php
- https://nuevaprodeciencia.club/br77b/iayjaskyeiagds.php
- https://nuevaprodeciencia.club/cert.php
- https://nuevaprodeciencia.club/cord.php
- https://odaracani.online/index.php?id=3df947b3
- https://pastebin.com/raw/0RmxqY57
MD5
- 285fea57345d838916153c4d8f43ab6c
- 826d6350724f203b911aa6c8c4626391
SHA1
- 8a87d63110eeb782bb621b5f3154ca80bdcf5de7
SHA256
- 5fd682cdfdf2de867be2a4bd378a2c206370c18a598975a11c99dba121e36b1b
