Аналитики компании CyberArmor обнаружили новую масштабную фишинговую кампанию, в ходе которой злоумышленники рассылали поддельные уведомления от Социального обеспечения (SSA), чтобы обмануть более 2000 пользователей и заставить их загрузить вредоносное ПО. Атака отличалась высокой степенью убедительности: письма выглядели как официальные сообщения от SSA, что увеличивало доверие жертв.
Описание
Фишинговая схема начиналась с рассылки электронных писем, содержащих ссылку на поддельную страницу, имитирующую сайт Социального обеспечения. Интересно, что злоумышленники разместили фальшивую страницу на серверах Amazon Web Services (AWS), вероятно, чтобы усилить доверие пользователей, поскольку бренд Amazon ассоциируется с надежностью. Ссылка вела на адрес вида hxxps://odertaoa[.]s3.us-east-1.amazonaws.com/ssa/US/index.html, который открывал страницу с предложением «просмотреть выписку».
После перехода по ссылке жертва попадала на вторую страницу, где ей предлагалось скачать файл с инструкциями по его запуску. На этом этапе пользователи, не подозревая об угрозе, загружали вредоносное ПО, которое затем внедрялось в систему.
Загружаемый файл представлял собой .NET-загрузчик, который выполнял две ключевые функции. Во-первых, он запускал .NET-резолвер, загружавший дополнительные файлы из папки «FILES». Эти файлы были необходимы для работы ScreenConnect - программного обеспечения для удаленного доступа, которое злоумышленники использовали для контроля над зараженными устройствами.
Во-вторых, загрузчик запускал файл «ENTRYPOINT», который выступал в качестве основного бэкдора. Этот компонент извлекал из загрузчика адрес командного сервера (C2) и использовал ScreenConnect для установки скрытого соединения с сервером злоумышленников. Таким образом, киберпреступники получали полный доступ к зараженному устройству, что позволяло им красть конфиденциальные данные, устанавливать дополнительное вредоносное ПО или даже шпионить за пользователем.
Конфигурация C2 была встроена непосредственно в загрузчик в формате XML и содержала параметры для подключения к серверу злоумышленников. Например, в коде присутствовали строки, указывающие на домен secure.ratoscbom.com и порт 8041, через который осуществлялось управление зараженными системами.
По данным CyberArmor, более 2000 пользователей взаимодействовали с фишинговыми письмами, и значительная часть из них установила вредоносное ПО. Это свидетельствует о высокой эффективности атаки, поскольку злоумышленники использовали социальную инженерию, эксплуатируя доверие к государственным учреждениям.
Чтобы защититься от подобных угроз, эксперты рекомендуют соблюдать следующие меры предосторожности: всегда проверять отправителя электронных писем, не переходить по подозрительным ссылкам, особенно если они ведут на страницы с запросом личных данных или загрузкой файлов. Кроме того, важно использовать надежные антивирусные решения и регулярно обновлять программное обеспечение, чтобы минимизировать риски заражения.
Данный случай еще раз демонстрирует, насколько изощренными становятся киберпреступники, используя не только технические уязвимости, но и психологические манипуляции. Оставаться бдительным - ключевое правило цифровой безопасности в современном мире.
Индикаторы компрометации
Domain Port Combinations
- secure.ratoscbom.com:8041
URLs
- https://odertaoa.s3.us-east-1.amazonaws.com/ssa/US/index.html
MD5
- bc219ea52e5d250b689bfb0203eb9e4e
SHA1
- 97997862c73cfe301af43c355ffa4b2d8b1e7d7f
SHA256
- 1c939551452b2137b2bd727f13fab80da192f174d0311d23fc3c1c531cefdc87
