Киберпреступники используют платформу Vercel для распространения вредоносного ПО удаленного доступа

Атака началась с рассылки фишинговых писем, содержащих ссылки на поддельные страницы, размещенные на субдоменах Vercel. Эти страницы имитировали интерфейс Adobe PDF Viewer, убеждая пользователей в необходимости загрузки документа. Однако вместо ожидаемого файла жертвам предлагалось скачать исполняемый файл, замаскированный под легальный документ.

Использование Vercel в данной схеме не случайно - платформа пользуется доверием среди разработчиков, что делает поддельные страницы менее подозрительными как для пользователей, так и для систем защиты. За последние два месяца было зафиксировано не менее 28 подобных кампаний, направленных на более чем 1 271 пользователя.

Особую опасность представляет тот факт, что злоумышленники используют легальное ПО - LogMeIn. Поскольку этот инструмент сам по себе не является вредоносным, многие системы защиты не блокируют его установку. Жертвы, полагая, что получают техническую поддержку, добровольно запускают программу, открывая киберпреступникам доступ к своим устройствам.

Одним из файлов, распространяемых в рамках кампании, стал "Invoice06092025.exe.bin" с хешами MD5 f3f8379ce6e0b8f80faf259db2443f13, SHA1 5fd4bcca28553ebe759ec97fcbc3a2a732268f85 и SHA256 0a1a85a026b6d477f59bc3d965b07d0d06e6ff2d34381aff79ea71c38fed802b. После запуска этот файл подключает компьютер жертвы к серверу злоумышленников, предоставляя им полный контроль над системой.

Эксперты CyberArmor отмечают, что подобные атаки демонстрируют растущую тенденцию среди киберпреступников - эксплуатацию легальных платформ и инструментов для маскировки вредоносной активности. Это значительно усложняет обнаружение угроз на ранних стадиях.

Для защиты от подобных атак компания рекомендует организациям внедрять комплексные меры безопасности. В первую очередь, необходимо ограничить доступ к подозрительным субдоменам Vercel, которые все чаще используются для размещения фишинговых страниц. Также критически важно обучать сотрудников распознаванию мошеннических схем, связанных с поддельными уведомлениями о счетах или предложениями технической поддержки.

Дополнительной защитой может стать строгий контроль установки программ удаленного доступа. Внедрение политик, запрещающих инсталляцию подобного ПО без согласования с ИТ-отделом, поможет снизить риски компрометации корпоративных систем.

В условиях, когда киберпреступники активно эксплуатируют доверие к популярным сервисам, только сочетание технических мер защиты, обучения сотрудников и жесткой политики безопасности позволит организациям эффективно противостоять подобным угрозам. Постоянный мониторинг подозрительной активности и оперативное реагирование на инциденты остаются ключевыми элементами киберзащиты в современной цифровой среде.

Domains

• attached-documentation-sent.vercel.app
• dhl-delivery-report.vercel.app
• dhl-shipment-detail.vercel.app
• dhl-shipment-document.vercel.app
• docreview-rho.vercel.app
• docsignstatements.vercel.app
• express-delivery-note.vercel.app
• findhome.cl
• hoferunpaidinvoicestatementinvds.vercel.app
• invoicereunpaiadinv-beta.vercel.app
• invoices-attachedpdf.vercel.app
• invoices-overdues100.vercel.app
• invoice-statement-overdue.vercel.app
• invstatement.vercel.app
• invstatement2025.vercel.app
• mail.blta.ro
• pastduefromhomi.vercel.app
• peacepaymentsettlementsinvs.vercel.app
• shipment-docspdf.surge.sh
• statementinfromcrllc.vercel.app
• statementinvs.vercel.app
• statementpaysundrreviewdfg.vercel.app
• statment-inv.vercel.app
• statment-two.vercel.app
• unpaidinvoiceremitaath.vercel.app
• waybill-deliveryticket.vercel.app
• waybill-directory-express.vercel.app
• windowscorps.vercel.app

MD5

• 322a92b443faefe48fce629e8947e4e2
• e230bf859e582fe95df0b203892048df
• f3f8379ce6e0b8f80faf259db2443f13
• f782c936249b9786cc7fac580da3ae0f

SHA1

• 5fd4bcca28553ebe759ec97fcbc3a2a732268f85

SHA256

• 0a1a85a026b6d477f59bc3d965b07d0d06e6ff2d34381aff79ea71c38fed802b