Итальяноязычная кампания с фишинговыми счетами распространяет NeptuneRAT через многоступенчатую цепочку заражения

remote access Trojan

С февраля 2026 года специалисты по информационной безопасности отслеживают кампанию вредоносных писем на итальянском языке. Злоумышленники нацелились на итальянские организации и частных пользователей. В качестве предлога используется краткое уведомление о счете с просьбой открыть вложенный HTML-документ. Такой текст выглядит достаточно правдоподобно для загруженного почтового ящика. Цель атаки - провести жертву от письма через браузер к исполнению вредоносного сценария.

Описание

Одно из проанализированных писем имело тему Nostra fattura nr. 91B. В теле сообщения получателя просили проверить вложение, чтобы увидеть детали счета. Файл назывался Fattura_00121.html. Сам HTML-файл имеет небольшой размер. Он перенаправляет браузер на фишинговую страницу, расположенную по адресу https://pillarsesolution[.]com/i#.... В фрагменте URL содержится адрес электронной почты получателя, закодированный в Base64. Скорее всего, этот идентификатор используется злоумышленниками для отслеживания жертв. В специальную зону сбора (dropzone) записываются почтовые ящики тех, кто перешёл на фишинговую страницу и скачал вредоносный ZIP-архив.

Посадочная страница имитирует интерфейс загрузки документов на итальянском языке. Пользователь видит сообщение о том, что документ готов. На странице отображается название файла Fattura_00121.pdf с пометкой "защищён". Жертву призывают нажать кнопку Scarica File (скачать файл). Этот визуальный слой важен: вредоносная программа не полагается только на исполнение вложения. Атака превращает переход из почты в загрузку данных в рутинную операцию.

После нажатия кнопки "Скачать" страница обращается к серверу https://bonanza.davidsabido[.]com/wp-includes/images/ic/i.php. Логика на стороне сервера фильтрует запросы по строке user agent (идентификатор браузера). Пользователи с браузерами под управлением Windows получают ZIP-архив. Остальные клиенты, включая мобильные устройства и не-Windows системы, перенаправляются на безобидный PDF-документ, размещённый в Google Drive. Такое разделение снижает подозрительность кампании при невнимательном анализе. Кроме того, оно предотвращает доставку полезной нагрузки (payload) в среду, где её невозможно выполнить.

В одном из последних обнаруженных случаев ZIP-архив назывался B00225511855210021-00551.zip. Внутри находился сильно запутанный JavaScript-файл с тем же именем и расширением .js. Запуск этого сценария через Windows Script Host запускает цепочку заражения. Сценарий формирует и выполняет команду PowerShell с отключением проверки политик выполнения. Затем PowerShell загружает и запускает дополнительные скрипты в каталоге C:\Users\Public.

Согласно анализу телеметрии, первый расшифрованный этап PowerShell проверяет доступность сайта www.google.com. Сценарий сбрасывает кэш DNS, отключает или ослабляет настройки Защитника Windows, а также ищет инструменты анализа. Список процессов для антианализа включает такие имена, как handle, autorunsc, Dbgview, tcpvcon, any.run, sandbox, tcpview, OLLYDBG, ImmunityDebugger, Wireshark, apateDNS, analyze. Если среда кажется подозрительной, выполнение может остановиться, а хост может перезагрузиться.

После этих проверок вредоносный код загружает файл 03.txt с домена meusitehostgator[.]com[.]br. Данные анализируются после маркера %x%. Восстановленная информация представляет собой загрузчик .NET под названием ClassLibrary3. Он загружается непосредственно в память через механизм отражения PowerShell. Такое поведение соответствует публичным описаниям кампаний UpCrypter. JavaScript и PowerShell выступают промежуточными слоями, а загрузчик MSIL подготавливает и разворачивает финальную полезную нагрузку.

Конечный сценарий PowerShell sgyof.ps1 был извлечён в песочнице Joe Sandbox. Это файл в кодировке UTF-16LE, содержащий большой массив байтов. Массив загружает сборку .NET в память через вызов [System.Reflection.Assembly]::Load(...) и запускает метод ClassLibrary1.Class1.Run(...). Встроенная сборка содержит функциональность RunPE (запуск переносимого исполняемого файла в памяти) и вложенный .NET-исполняемый файл. Извлечение этого вложенного файла показало финальную нагрузку - .NET-приложение с графическим интерфейсом, внутренне идентифицированное как MasonClient.exe.

Строковые данные приложения включают MasonRAT, MasonGroup, NeptuneRAT V5.3 и конфигурацию C2 (командно-контрольного сервера): afxwd[.]ddns[.]net:143. Таким образом, UpCrypter выступает в роли фреймворка для доставки и загрузки, а развёрнутая в данном случае вредоносная программа - NeptuneRAT, которая в своей собственной конфигурации также называется MasonRAT.

Поведение в песочнице подтверждает этот вывод. Joe Sandbox зафиксировал файл sgyof.ps1 как удалённо загруженный и обнаружил NeptuneRAT в дампах памяти PowerShell и извлечённых артефактах PE. Другие песочницы останавливались на ранних этапах цепочки, так как загрузчик проверяет среду на аналитические инструменты и специально ищет процессы, связанные с песочницами. Этим объясняется, почему некоторые среды фиксировали только файлы gdwfw.txt, tpkws.txt или np.txt, а Joe Sandbox продвинулся достаточно далеко, чтобы восстановить конечный сценарий PowerShell.

Для специалистов по защите очевидно простое правило: HTML-вложение, которое сразу перенаправляет на страницу загрузки документа, следует считать враждебным. Особенно если письмо использует общий текст о счете и пометки высокого приоритета. Для аналитиков важно, что кампания не использует одно семейство вредоносного ПО с первого этапа. Это многослойная цепочка доставки, где загрузчик UpCrypter подготавливает и выполняет финальную программу-троян удалённого доступа (RAT). В качестве мер защиты рекомендуется не открывать вложения HTML из неожиданных писем, проверять отправителя через альтернативные каналы и ограничивать выполнение сценариев PowerShell в корпоративной среде.

Индикаторы компрометации

Domains

  • andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br

Domain Port Combinations

  • afxwd.ddns.net:143

URLs

  • https://andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br/GpazlLUWIJ_14_05_Meus_ArquivosDeTexto/03.txt
  • https://bonanza.davidsabido.com/wp-includes/images/ic/B00225511855210021-00551.zip
  • https://bonanza.davidsabido.com/wp-includes/images/ic/i.php
  • https://drive.google.com/file/d/1XASle6sijkTrXEX_Elyk0C_R5uP33Oe-/view
  • https://pillarsesolution.com/i#
  • https://viveturetiro.mx/np.txt

SHA256

  • 1d4b0079863f439199fa58f83ff85d229685f652042eb2f0181008c0cc38b3cb
  • 2f2b5290c5339b94d80342172590f17300150870ea9416ab6661e1cb38c9ac0d
  • 3b6c29bdec7980e3b8d9c4f4e676e1775f512c11d7ab6816d1ae27600d547993
  • 3d9b98e3aa9b467d08d5f21648d629228766af21fe396b99c3fb326581eba0f3
  • 5437ccfa4cd32dff8908884a8ca328e6b7b8fd4b41ad78344668c60baed7c556
  • 545eacb0c871d22484c2e3d55dc8ae0951f4a48c2b5abba7063081ffcbd20b81
  • 7438de9978d21abe51d13229a225caab6b3990494a27b888b02cfe365cc47181
  • 774663b9d66b6c310c78e98140fbda1a738181be3ab7722f4ab94430cc54c2b8
  • bd56e7dd350b63c5492ebac88bcb8f2a9a45c0c0050f52f786dcae948eab9145
  • c3114ff7d4837dd11334ef841f5861e834efea948c56c72d1f64c1e93a5fa2fa
  • fa894470086ee4fb5ee581b398b0828f22e9397aa840a2f79dd2945e867220b3

Комментарии: 0