Эксперты исследовательского подразделения SpiderLabs обнаружили новую фишинговую кампанию, маскирующуюся под программу корпоративных наград. Злоумышленники используют тему «Исполнительской премии» (Executive Award), чтобы обманом заставить жертв выдать свои учетные данные и установить вредоносное программное обеспечение. Атака представляет собой двухэтапный удар, сочетающий кражу логинов и паролей с последующей тихой установкой шпионского софта.
Описание
Операция начинается с рассылки электронных писем, которые якобы связаны с программой корпоративного признания или подарочными картами. Сообщения выглядят правдоподобно и часто имитируют внутренние коммуникации. В письмах содержится ссылка, ведущая на фишинговый сайт. Этот ресурс искусно копирует дизайн внутреннего портала для наград или корпоративной веб-почты, что повышает доверие жертвы.
Когда пользователь вводит свои учетные данные на поддельной странице, они мгновенно перехватываются. Интересно, что злоумышленники используют для сбора информации не только традиционные серверы, но и канал в мессенджере Telegram. Это позволяет им оперативно получать данные и усложняет отслеживание. После кражи логинов и паролей сайт демонстрирует жертве фальшивую ошибку браузера.
Далее пользователю предлагается скачать якобы «исправляющий» файл. Здесь атакующие применяют технику, известную как ClickFix. В данном случае они используют вредоносный файл формата SVG, который при открытии через стандартные средства Windows инициирует выполнение скрытого кода PowerShell. Этот код маскируется под системное сообщение, что позволяет обойти внимательность пользователя и базовые средства защиты.
Запущенный скрипт PowerShell выполняет многоэтапную цепочку загрузки. В конечном итоге он скачивает и устанавливает на компьютер жертвы программу-сборщик информации Stealerium. Этот тип вредоносного ПО, часто называемый инфостилером (information stealer), работает в тихом режиме. Его задача - собирать широкий спектр данных: сохраненные пароли в браузерах, файлы cookies, данные банковских карт и криптокошельков.
Более того, Stealerium настраивает механизмы для сохранения устойчивости (persistence) в системе. Это гарантирует злоумышленникам долгосрочный доступ к скомпрометированному устройству даже после перезагрузки. Таким образом, один успешный фишинговый клик приводит к двойному урону: краже учетных данных и скрытой инфекции, которая продолжает выкачивать информацию.
Данная кампания наглядно демонстрирует тенденцию к усложнению социальной инженерии. Злоумышленники эксплуатируют тему корпоративных поощрений, которая редко вызывает подозрения. Одновременно они комбинируют несколько технических приемов для максимальной эффективности. Эксперты рекомендуют сотрудникам проявлять бдительность к любым неожиданным письмам о премиях или наградах. Кроме того, критически важно проверять URL-адреса сайтов перед вводом логинов и никогда не запускать непонятные файлы для «исправления ошибок», предложенные через браузер.
Индикаторы компрометации
URLs
- http://31.57.147.77:6464
- http://31.57.147.77:6464/getbatch
- http://31.57.147.77:6464/getcmd
- http://31.57.147.77:6464/getdll
- http://31.57.147.77:6464/getexe
- http://31.57.147.77:6464/gethta
- http://31.57.147.77:6464/getps
MD5
- 4db5c047a1cfd9ee5f8da8611c30889b
- 5ed74724b45d28825d93f21097dc2475
- 602ac35cc1e49320493eb54bde62b760
SHA256
- 2f5973d9515b15273dbf64ad0542b27d752814d794752b41c912d18db747993e
- 7cb2fa5762cb71120e16e9a778c5a1f1c3649aa02e06f837bf142885b98ee58c
- 88feadbb2f9548d3c0cb9c6519bcea476acf9ac2a3eeccde5655457cbba29db4
Telegram Exfil (Phish)
- Bot: 6926474815:AAHMa86FvgJGailNJ2EzmIgA8hk_nzb5KvA
- Chat ID: 875787587
Telegram Exfil (Stealerium)
- Bot: 6926474815:AAFx9tLAnf5OAVQZp2teS3G2_6T1wCP67xM
- Chat ID: -4224073938
