Главная страница » Индикаторы компрометации
0
13 часов
Индикаторы компрометации

Кампания SmartApeSG эволюционирует: фиктивная CAPTCHA и ClickFix доставляют Remcos RAT через взломанные сайты

remote access Trojan

В мире вредоносных кампаний, эксплуатирующих доверие пользователей к легитимным веб-ресурсам, наблюдается постоянная эволюция тактик. Очередным свидетельством этого стал свежий случай заражения удалённым троянцем Remcos RAT, зафиксированный в лабораторных условиях 11 марта 2026 года. Инцидент связан с активностью кампании SmartApeSG, которая сменила инструментарий и усовершенствовала социальную инженерию, внедряя на взломанные сайты фиктивные страницы проверки CAPTCHA в стиле ClickFix. Это наглядно демонстрирует, как киберпреступники адаптируют методы под текущие тренды взаимодействия пользователей с веб-интерфейсами.

Описание

Ранее, в ноябре 2025 года, кампания SmartApeSG (также известная по кодовым названиям ZPHP и HANEYMANEY) ассоциировалась с распространением другого троянца - NetSupport Manager RAT. Однако, как показывает последний анализ, с того момента операторы кампании практически полностью перешли на использование Remcos RAT. Этот троянец предоставляет злоумышленникам обширный контроль над заражённой системой, включая кражу данных, кейлоггинг, захват изображений с экрана и выполнение произвольных команд. Постоянство в выборе инструмента указывает на отлаженный процесс его интеграции в цепочки поставки вредоносного ПО.

Обнаружение активности SmartApeSG, как сообщается исследователем, традиционно начинается с мониторинга индикаторов компрометации (IoC), публикуемых в открытых источниках, таких как аккаунт Monitor SG в социальной сети Mastodon. Далее, используя сервис URLscan для анализа этих индикаторов, специалисты выявляют легитимные, но скомпрометированные веб-сайты, в код которых внедрён вредоносный скрипт SmartApeSG. Именно этот скрипт и является отправной точкой для атаки на конечного пользователя.

Механика последней наблюдаемой атаки выглядит следующим образом. При посещении взломанного сайта жертва сталкивается не с оригинальным контентом, а с инъектированной фиктивной страницей, имитирующей проверку CAPTCHA. Страница содержит просьбу «подтвердить, что вы человек», установив галочку в чекбоксе. После выполнения этого действия пользователю отображается инструкция в стиле известной мошеннической схемы ClickFix: ему предлагается открыть диалоговое окно «Выполнить» (Win+R), вставить туда заранее скопированный в буфер обмена скрипт и нажать Enter. Социальная инженерия здесь строится на имитации типовых действий по устранению неполадок, что может ввести в заблуждение даже осторожных пользователей.

Анализ сетевого трафика с помощью инструментов Fiddler и Wireshark позволил детально восстановить цепочку заражения. После выполнения инструкций пользователем, вредоносное ПО доставляется на устройство в виде ZIP-архива, который маскируется под безобидный PDF-документ благодаря изменённому расширению файла. Внутри этого пакета находится Remcos RAT, использующий технику DLL side-loading (подмены библиотек) для своей активации. Эта техника позволяет вредоносной программе загружаться в память легитимного процесса, что затрудняет её обнаружение традиционными средствами защиты. Для обеспечения постоянного присутствия в системе троянец вносит изменения в реестр Windows, создавая механизм автозапуска.

Данный инцидент подчёркивает несколько ключевых тенденций в тактиках распространения вредоносного ПО. Во-первых, это растущая изощрённость социальной инженерии, где вместо прямых просьб скачать файл используются многоступенчатые сценарии, вовлекающие жертву в «исправление» несуществующей проблемы. Во-вторых, продолжается активная эксплуатация уязвимостей в легитимных веб-сайтах для придания атаке видимости достоверности. В-третьих, комбинация техник (маскировка файла, side-loading, закрепление в системе через реестр) демонстрирует стремление злоумышленников к максимальной скрытности и живучести вредоносного кода.

Для специалистов по информационной безопасности и рядовых пользователей этот случай служит важным напоминанием. Необходимо проявлять крайнюю осторожность при появлении нестандартных всплывающих окон или инструкций на знакомых сайтах, особенно тех, что требуют выполнения команд в системе. Организациям рекомендуется регулярно проводить аудит безопасности своих веб-ресурсов, обновлять CMS и сторонние компоненты, а также внедрять решения класса WAF (Web Application Firewall - межсетевой экран веб-приложений) для блокировки инъекций вредоносного кода. Для конечных точек важны принципы минимальных привилегий, обновлённые антивирусные решения с эвристическим анализом и системы предотвращения вторжений (IPS), способные отслеживать подозрительную активность, связанную с манипуляциями реестром и нестандартной загрузкой библиотек. Постоянный мониторинг угроз и обучение пользователей остаются критически важными элементами защиты от подобных развивающихся кампаний.

Индикаторы компрометации

IPv4 Port Combinations

  • 193.178.170.155:443

URLs

  • http://forcebiturg.com/boot
  • http://forcebiturg.com/proc
  • https://cpajoliette.com/d.js
  • https://forcebiturg.com/boot
  • https://forcebiturg.com/proc
  • https://retrypoti.top/endpoint/handler-css.js?00109a4cb788daa811
  • https://retrypoti.top/endpoint/login-asset.php?Iah0QU0N
  • https://retrypoti.top/endpoint/signin-cache.js

SHA256

  • b170ffc8612618c822eb03030a8a62d4be8d6a77a11e4e41bb075393ca504ab7
Комментарии: 0
Похожие записи
0
31.03.2025
Индикаторы компрометации

Gamaredon использует LNK-файлы для распространения бэкдора Remcos

security
Gamaredon использует вредоносные LNK-файлы для распространения бэкдора Remcos в рамках своей кампании, нацеленной на пользователей в Украине. Эта кампания началась в ноябре 2024 года и до сих пор активна.