Эксперты подразделения Fortra Intelligence and Research (FIRE) выявили активную фишинговую кампанию, нацеленную на финансовые организации. Злоумышленники применяют специализированный фишинговый набор, получивший название RatPressto. Его ключевая особенность - размещение на скомпрометированных сайтах на базе WordPress и использование легитимного ПО для удалённого управления ScreenConnect (программа для удалённого доступа, которую атакующие превращают в троян). По данным исследователей, инфраструктура кампании отличается высокой степенью стандартизации, а сами атаки демонстрируют зрелый операционный подход.
Описание
В основе схемы лежит многоступенчатая социальная инженерия. Жертва получает электронное письмо, которое имитирует уведомление от Adobe Document Cloud. В сообщении говорится, что конфиденциальный документ загружен в облако, и предлагается перейти по ссылке для просмотра. Текст шаблона практически не меняется от кампании к кампании: стандартное приветствие, упоминание конфиденциальности и размера файла, активная кнопка "VIEW FILE". После нажатия пользователь попадает на поддельную страницу, размещённую на взломанном сайте WordPress.
Сама фишинговая страница визуально копирует интерфейс Adobe - фирменный синий цвет, логотип, сообщение о завершении загрузки. Однако настоящая цель скрыта. На страницу встроен невидимый HTML-элемент iframe, который в фоновом режиме загружает полезную нагрузку (payload). Чаще всего это установщик ScreenConnect, но иногда используются MSI-пакеты, EXE-файлы или VBS-скрипты. Пользователю meanwhile показывают анимированный спиннер и через две секунды перенаправляют на другую страницу, где предлагают открыть якобы уже скачанный файл. На самом деле вредонос уже запущен.
Исследователи отметили, что все обнаруженные страницы практически идентичны по коду - различаются только имена файлов, которые адаптируются под конкретную жертву. Например, в одном из образцов фигурировало название CapraAssetManagementInc.vbs, что указывает на попытку имитировать внутренние документы компании. Такая персонализация повышает доверие к атаке.
Критически важным элементом инфраструктуры стали уязвимости административных интерфейсов WordPress. На нескольких скомпрометированных сайтах исследователи нашли открытые панели управления (wp-admin), доступные из интернета. Это говорит о том, что злоумышленники получили доступ либо через кражу учётных данных администратора, либо через уязвимости в плагинах и темах. Сами файлы фишингового набора (download.php, complete.php, download.html) размещались прямо в каталогах WordPress, что подтверждает наличие прав администратора у атакующей стороны.
Дополнительно в коде страниц обнаружены "артефакты разработчика" - неиспользуемые CSS-классы, одинаковый фоновый рисунок с названием Screenshot 2025-04-25 161700.png, а также заголовок "Background Image Page" на первой ступени. Эти признаки позволяют с высокой долей уверенности связывать все случаи развёртывания с одним набором инструментов.
После установки ScreenConnect злоумышленники получают полный удалённый контроль над инфицированной системой. Командный центр (C2) в последних версиях кампании размещён на собственном сервере cloud.zistopstoabetterlife.com:8041, а не на стандартных облачных ретрансляторах ScreenConnect. Помимо этого, для хранения дополнительных полезных нагрузок используются репозитории на GitHub (например, creativebobo/ceoexe). Использование легальных сервисов - подписанных двоичных файлов, GitHub, Cloudflare - существенно затрудняет обнаружение трафика традиционными средствами защиты.
Целевой аудиторией кампании выступают в первую очередь финансовые организации. Злоумышленники стремятся незаметно похитить учётные данные, секреты и другую конфиденциальную информацию, которая может быть использована для дальнейшего проникновения в инфраструктуру. В менее вероятном сценарии возможна кража данных с целью последующего шантажа.
Атрибуция кампании остаётся на среднем уровне уверенности. Специалисты Fortra в своём отчёте указывают на несколько косвенных признаков, которые указывают на Бразилию как вероятный источник атак. Инфраструктура привязана к хостингу в Сан-Паулу, один из контролируемых доменов использует португалоязычное доменное имя .com.br, а в именах серверов и конфигурациях встречаются португальские термины. Тем не менее прямых доказательств принадлежности к конкретной группе пока нет.
Выводы экспертов неутешительны: фишинговые кампании становятся всё более зрелыми. Вместо рассылки вредоносных вложений атакующие применяют многоступенчатые веб-схемы, компрометируют легитимные сайты и прячутся за легальным ПО. Для защиты компаниям необходимо уделять первостепенное внимание безопасности систем управления контентом, своевременно обновлять плагины и темы, ограничивать доступ к административным панелям по IP и внедрять многофакторную аутентификацию для всех учётных записей с правами администратора. Кроме того, обучение сотрудников распознаванию признаков социальной инженерии остаётся одним из самых эффективных барьеров против подобных атак.
Индикаторы компрометации
IPv4
- 177.154.191.148
- 84.32.41.64
Domains
- abpmed.com
- ampliawifi.com
- birexo.icu
- c3po3090.com.br
- cloud.zistopstoabetterlife.com
- gaheempreendimentos.com
- iconclinic.ae
- nabellacouture.com
- vetcarebd.xyz