Эксперты ESET обнаружили целенаправленную фишинговую кампанию в Латинской Америке, в рамках которой распространяется троянец удаленного доступа (RAT, Remote Access Trojan) под названием Ratty. Злоумышленники используют сложную многоэтапную схему с вредоносными PDF-документами и социальной инженерией, нацеленную преимущественно на испаноговорящих пользователей, в первую очередь в Перу. Для размещения компонентов вредоносного ПО активно применяются легитимные облачные сервисы, такие как Google Drive, Dropbox и MediaFire, что помогает обходить базовые защиты.
Описание
Троянец Ratty, написанный на Java, обладает широким набором вредоносных функций. К ним относятся захват экрана, несанкционированный доступ к веб-камере и микрофону, кейлоггинг (перехват нажатий клавиш), навигация по файловой системе и удаленное выполнение команд на зараженном устройстве. После инфицирования троянец устанавливает соединение с сервером командно-го управления, откуда злоумышленники получают полный контроль над системой.
Атака начинается с фишингового письма, которое маскируется под уведомление о неоплаченном счете. В письме содержится вложение - файл с названием «Factura.pdf». Внутри этого PDF-документа находятся ссылки, которые ведут жертву на страницу в Dropbox, откуда автоматически загружается HTML-файл с названием «FACTURA-243240011909044.html». Этот файл содержит тщательно обфусцированный код на JavaScript.
Важной особенностью атаки является проверка языка системы. Если браузер жертвы использует английский язык интерфейса, скрипт перенаправляет пользователя на безвредный PDF-документ с изображением фактуры, что позволяет злоумышленникам избегать внимания исследователей и случайных жертв не из целевого региона. Если же язык системы не английский, что характерно для Латинской Америки, срабатывает основной механизм атаки. На странице появляется флажок подтверждения, после активации которого отображается скрытый контейнер с кнопкой загрузки.
Нажатие на эту кнопку запускает цепочку перенаправлений, в результате чего с файлообменника MediaFire загружается скрипт на Visual Basic с именем «FA-45-04-2025.vbs». Этот скрипт, также обфусцированный с помощью словаря ASCII-значений, выполняет несколько действий. Для отвлечения внимания жертвы он открывает в браузере безвредный файл «documento.pdf», имитирующий счет, а в фоновом режиме загружает и распаковывает ZIP-архив «InvoiceXpress.zip» в системную папку.
Из распакованного архива запускается файл «InvoiceXpress.cmd», который действует как загрузчик. Он проверяет наличие Java в системе и запускает файл «InvoiceXpress.png», который на самом деле является JAR-архивом - самой вредоносной нагрузкой, троянцем Ratty. Для обеспечения постоянства присутствия в системе троянец копирует себя в папку автозагрузки, маскируясь под файл изображения, и создает соответствующую запись в реестре Windows. Это гарантирует, что вредоносная программа будет запускаться при каждой загрузке операционной системы.
После запуска Ratty устанавливает соединение с сервером командно-го управления, используя нестандартные порты TCP. Анализ кода троянца выявил множество модулей, предназначенных для скрытного контроля над системой. Среди них - функции для блокировки экрана и мыши, чтобы предотвратить вмешательство пользователя во время вредоносных действий, инструменты для загрузки и выгрузки файлов, а также модули для сбора конфиденциальной информации: захвата видео с веб-камеры, записи звука с микрофона, создания снимков экрана и перехвата вводимых с клавиатуры данных.
Появление Ratty в Латинской Америке представляет особый интерес для специалистов по кибербезопасности, так как троянцы, написанные на Java, не являются типичными для угроз в этом регионе. Их использование подчеркивает растущую изощренность киберпреступных группировок, которые расширяют свой инструментарий для обхода традиционных систем защиты. Широкий функционал Ratty делает его опасным инструментом для шпионажа и кражи конфиденциальных данных.
Для защиты от подобных атак эксперты рекомендуют проявлять повышенную бдительность при получении электронных писем от неизвестных отправителей, особенно тех, что содержат вложения или ссылки, связанные с финансовыми документами. Крайне важно поддерживать операционные системы и программное обеспечение, в частности Java, в актуальном состоянии, а также использовать надежные антивирусные решения, способные обнаруживать сложные многоэтапные атаки. Организациям следует проводить обучение сотрудников для распознавания фишинговых техник и внедрять практики принципа наименьших привилегий для ограничения потенциального ущерба.
Индикаторы компрометации
IPv4
- 158.178.201.63
Domains
- Dc8vcreun.localto.net
URLs
- http://skdjaznhajdhurkahfaproqudjahbshdjabdgajs.ngrok.io/InvoiceXpress.zip
- https://skdjaznhajdhurkahfaproqudjahbshdjabdgajs.ngrok.io/dc32c5a4-cf17-4c9c-9513-806f5efa5258
- https://skdjaznhajdhurkahfaproqudjahbshdjabdgajs.ngrok.io?www.google.com
- https://www.dropbox.com/scl/fi/lzf7pwdocuhi4jl5gudhu/FACTURA-243240011909044.html?rlkey=hyg60b58keu0hxu7qx5xrqd6d&st=rxdo0z2q&dl=1
SHA1
- 33ad0a3573497373cabefce084303a48b26aa933
- 7d5da2e06f23a819157327217b372369469bcf03
- 85e6d36f1d6688e12fdfe9fa9d1adb5d853c1277
- 91f66c3d7375bb1cd70d468f27b4878261c3a008
- df351ea6340360de6aa0fcef30d1d252c9ce6378
