Бразильские организации из сектора химии и современных материалов стали целью новой фишинговой кампании, в которой злоумышленники применяют нестандартный подход. Вместо того чтобы внедрять вредоносное программное обеспечение, они заставляют жертв самостоятельно установить легитимный инструмент удалённого администрирования. Эта тактика особенно опасна для сотрудников, работающих с закупками, финансами, бухгалтерией и административными задачами, поскольку атака маскируется под рутинные бизнес-процессы.
Описание
Кампания начинается с фишинговых писем. Они содержат ссылки, спрятанные за цепочкой перенаправлений через доверенную инфраструктуру Google. После клика жертва попадает на португалоязычные посадочные страницы, которые имитируют хорошо знакомые бразильским пользователям сервисы. Среди них - порталы, связанные с налоговыми документами SEFAZ (государственная налоговая служба Бразилии), платформа для жалоб Reclame Aqui и сервисы защищённой доставки документов. Страницы оформлены с использованием привычных терминов "Documento Fiscal", "Download Seguro" и "Verificação de Segurança", что делает их практически неотличимыми от настоящих.
После того как пользователь проходит процедуру проверки, ему предлагают скачать якобы защищённый деловой документ. Вместо этого загрузка доставляет установщик легитимного RMM-агента (программы для удалённого мониторинга и управления) под названием NinjaOne. Это корпоративное решение, которое используют системные администраторы и поставщики управляемых услуг. Установщик настроен на подключение к инфраструктуре, контролируемой злоумышленниками. Исследователи Cato CTRL в отчёте подробно описали механизм атаки, отметив, что ранее использование NinjaOne для таких целей в бразильском киберпространстве не документировалось.
Выбор NinjaOne не случаен. Эта платформа предоставляет широкие возможности: мониторинг устройств, установка программного обеспечения, управление обновлениями, удалённый доступ к терминалу, передача файлов и выполнение скриптов. Для ИТ-отдела это стандартные инструменты. Но в руках атакующих те же функции превращаются в средства для закрепления в системе, разведки, кражи данных и перемещения по сети. Поскольку программное обеспечение легитимное, подписанное цифровой подписью и часто встречается в корпоративной среде, оно вызывает меньше подозрений, чем обычные вредоносные файлы.
Кампания демонстрирует высокий уровень операционной безопасности. Не все посетители фишинговых страниц получают доступ к установщику. Инфраструктура использует геозонирование: полезная нагрузка загружается только для запросов из бразильских IP-диапазонов. Кроме того, применяются методы обнаружения автоматизированных систем анализа: проверка браузерных отпечатков, выявление инструментов автоматизации вроде Selenium и Puppeteer, а также оценка поведения пользователя по движению мыши и прокрутке. В коде JavaScript обнаружены комментарии на португальском, в том числе "Bot preencheu o honeypot" ("бот заполнил ловушку"), что прямо указывает на намерение отсеять исследователей.
Сами страницы используют единую структуру URI: http://<домен>/document/<номер>. Разные номера ведут либо к простому порталу загрузки, либо к строгим страницам с антианализом. После подтверждения человека установщик подгружается через скрытый iframe, который затем удаляется примерно через 30 секунд. Также отключается контекстное меню на кнопке загрузки. Однако исследователям удалось расширить список используемых доменов благодаря простому артефакту - повторяющемуся изображению обоев с картой Америк, которое отображалось на нескольких площадках без указания пути. Погоня за таким неочевидным индикатором позволила выявить дополнительные ресурсы.
Есть признаки возможной связи этой кампании с ранее документированной активностью, связанной с программой Venon RAT (удалённый доступ на Rust, нацеленный на бразильцев). Однако точной атрибуции пока нет.
На момент публикации 3 июня 2026 года часть фишинговой инфраструктуры оставалась доступной, несмотря на направленные уведомления провайдеру Cloudflare. Представители Cloudflare не смогли подтвердить вредоносный характер активности и переслали жалобу владельцу сайта, после чего часть ссылок перестала работать.
Эта атака - яркая иллюстрация тренда, о котором предупреждают регуляторы США: злоумышленники всё чаще используют легитимные средства удалённого управления для получения постоянного доступа. Заказчикам не нужно собственное вредоносное ПО - достаточно знакомых бизнес-процессов и корпоративного софта. Организациям стоит обращать внимание на ситуации, когда пользователей просят установить программное обеспечение якобы для просмотра документа или выполнения рабочей задачи. Даже если сам установщик безопасен, результат может быть катастрофическим: полный контроль над системой из рук атакующих.
Индикаторы компрометации
Domains
- hairdb.com
- lazybearpottery.net
- r64.org
- reclameaqui.services
- rectalmania.com
- sefaz.services