Группа White Lynx использует фишинговые документы с интерактивной CAPTCHA для атак на Украину

Документ с названием "Лист мадопомога.doc" и хэшем SHA256 6a22c0f7cafd717d4bc7408d7cf045f864939dd11f6d61a1b557e25a65fe4b7e содержит двойную схему обмана. Если макросы отключены, пользователь видит сообщение на английском и украинском языках с просьбой включить макросы для подтверждения, что он не робот. После включения макросов запускается фиктивное окно проверки CAPTCHA. Оно требует от пользователя ввода шестизначного кода, тем самым добавляя слой обязательного человеческого взаимодействия перед исполнением вредоносного кода.

После успешной "верификации" документ отображает на экране приманку, имитирующую официальное письмо. Согласно переводу, это меморандум от имени Олега Лобко, сельского головы Олиевского сельсовета Житомирской области Украины.

Тем временем на фоне макрос выполняет свою основную вредоносную нагрузку. Он размещает DLL-файл .NET по пути C:\Users\[username]\AppData\Local\EReciver\EdgeService.dll с хэшем SHA256 d93e1c23d95446071c7347d17e7125155486f3d2b01fb7265a4d2453e409ea18. Для его запуска используется стандартная утилита regsvr32.exe с параметрами /u /s. Этот метод обеспечивает устойчивость (persistence) вредоносной программы в системе.

Основная функция DLL - установка связи с командным сервером злоумышленников. Приблизительно раз в минуту вредоносная программа отправляет HTTP POST запросы на домен agelessinvesting[.]xyz. В запросах передается cookie, содержащая данные о зараженном хосте Windows, закодированные в строку Base64. Это позволяет операторам угрозы собирать разведывательную информацию с компрометированных систем.

Анализ показал, что используемая вредоносная нагрузка (payload) схожа с инструментами, которые White Lynx применяла в предыдущих атаках, задокументированных экспертами по кибербезопасности. Группа известна целенаправленными кампаниями против украинских государственных структур и белорусской оппозиции. Новая техника с интерактивной CAPTCHA является эволюцией их методов социальной инженерии, направленной на повышение доверия жертвы и обход автоматизированных систем анализа.

Требование ввода кода человеком усложняет автоматическое обнаружение угрозы системами песочницы (sandbox) и средствами анализа поведения. Специалисты рекомендуют проявлять повышенную бдительность при получении документов Office из непроверенных источников, особенно на фоне текущего геополитического конфликта. Критически важно не включать макросы в подозрительных файлах и использовать актуальные антивирусные решения.

URLs

• https://agelessinvesting.xyz/wp-content/uploads/2025/04/fahrenheit-451-book-cover.jpg

SHA256

• 6a22c0f7cafd717d4bc7408d7cf045f864939dd11f6d61a1b557e25a65fe4b7e
• d93e1c23d95446071c7347d17e7125155486f3d2b01fb7265a4d2453e409ea18