Фишинговый набор RatPressto: злоумышленники используют WordPress и ScreenConnect для атак на финансистов

remote access Trojan

Эксперты подразделения Fortra Intelligence and Research (FIRE) выявили активную фишинговую кампанию, нацеленную на финансовые организации. Злоумышленники применяют специализированный фишинговый набор, получивший название RatPressto. Его ключевая особенность - размещение на скомпрометированных сайтах на базе WordPress и использование легитимного ПО для удалённого управления ScreenConnect (программа для удалённого доступа, которую атакующие превращают в троян). По данным исследователей, инфраструктура кампании отличается высокой степенью стандартизации, а сами атаки демонстрируют зрелый операционный подход.

Описание

В основе схемы лежит многоступенчатая социальная инженерия. Жертва получает электронное письмо, которое имитирует уведомление от Adobe Document Cloud. В сообщении говорится, что конфиденциальный документ загружен в облако, и предлагается перейти по ссылке для просмотра. Текст шаблона практически не меняется от кампании к кампании: стандартное приветствие, упоминание конфиденциальности и размера файла, активная кнопка "VIEW FILE". После нажатия пользователь попадает на поддельную страницу, размещённую на взломанном сайте WordPress.

Сама фишинговая страница визуально копирует интерфейс Adobe - фирменный синий цвет, логотип, сообщение о завершении загрузки. Однако настоящая цель скрыта. На страницу встроен невидимый HTML-элемент iframe, который в фоновом режиме загружает полезную нагрузку (payload). Чаще всего это установщик ScreenConnect, но иногда используются MSI-пакеты, EXE-файлы или VBS-скрипты. Пользователю meanwhile показывают анимированный спиннер и через две секунды перенаправляют на другую страницу, где предлагают открыть якобы уже скачанный файл. На самом деле вредонос уже запущен.

Исследователи отметили, что все обнаруженные страницы практически идентичны по коду - различаются только имена файлов, которые адаптируются под конкретную жертву. Например, в одном из образцов фигурировало название CapraAssetManagementInc.vbs, что указывает на попытку имитировать внутренние документы компании. Такая персонализация повышает доверие к атаке.

Критически важным элементом инфраструктуры стали уязвимости административных интерфейсов WordPress. На нескольких скомпрометированных сайтах исследователи нашли открытые панели управления (wp-admin), доступные из интернета. Это говорит о том, что злоумышленники получили доступ либо через кражу учётных данных администратора, либо через уязвимости в плагинах и темах. Сами файлы фишингового набора (download.php, complete.php, download.html) размещались прямо в каталогах WordPress, что подтверждает наличие прав администратора у атакующей стороны.

Дополнительно в коде страниц обнаружены "артефакты разработчика" - неиспользуемые CSS-классы, одинаковый фоновый рисунок с названием Screenshot 2025-04-25 161700.png, а также заголовок "Background Image Page" на первой ступени. Эти признаки позволяют с высокой долей уверенности связывать все случаи развёртывания с одним набором инструментов.

После установки ScreenConnect злоумышленники получают полный удалённый контроль над инфицированной системой. Командный центр (C2) в последних версиях кампании размещён на собственном сервере cloud.zistopstoabetterlife.com:8041, а не на стандартных облачных ретрансляторах ScreenConnect. Помимо этого, для хранения дополнительных полезных нагрузок используются репозитории на GitHub (например, creativebobo/ceoexe). Использование легальных сервисов - подписанных двоичных файлов, GitHub, Cloudflare - существенно затрудняет обнаружение трафика традиционными средствами защиты.

Целевой аудиторией кампании выступают в первую очередь финансовые организации. Злоумышленники стремятся незаметно похитить учётные данные, секреты и другую конфиденциальную информацию, которая может быть использована для дальнейшего проникновения в инфраструктуру. В менее вероятном сценарии возможна кража данных с целью последующего шантажа.

Атрибуция кампании остаётся на среднем уровне уверенности. Специалисты Fortra в своём отчёте указывают на несколько косвенных признаков, которые указывают на Бразилию как вероятный источник атак. Инфраструктура привязана к хостингу в Сан-Паулу, один из контролируемых доменов использует португалоязычное доменное имя .com.br, а в именах серверов и конфигурациях встречаются португальские термины. Тем не менее прямых доказательств принадлежности к конкретной группе пока нет.

Выводы экспертов неутешительны: фишинговые кампании становятся всё более зрелыми. Вместо рассылки вредоносных вложений атакующие применяют многоступенчатые веб-схемы, компрометируют легитимные сайты и прячутся за легальным ПО. Для защиты компаниям необходимо уделять первостепенное внимание безопасности систем управления контентом, своевременно обновлять плагины и темы, ограничивать доступ к административным панелям по IP и внедрять многофакторную аутентификацию для всех учётных записей с правами администратора. Кроме того, обучение сотрудников распознаванию признаков социальной инженерии остаётся одним из самых эффективных барьеров против подобных атак.

Индикаторы компрометации

IPv4

  • 177.154.191.148
  • 84.32.41.64

Domains

  • abpmed.com
  • ampliawifi.com
  • birexo.icu
  • c3po3090.com.br
  • cloud.zistopstoabetterlife.com
  • gaheempreendimentos.com
  • iconclinic.ae
  • nabellacouture.com
  • vetcarebd.xyz

Комментарии: 0