За волной, казалось бы, разрозненных фишинговых кампаний, подделывающих уведомления от налоговой службы США, Управления социального обеспечения и брендов вроде DocuSign, стоит один разработчик. Он создал и продаёт около 200 операторам модульный набор для фишинга как услуги (PhaaS). Эту экосистему группа угроз SOCRadar назвала The Quarry. Она действует как минимум с апреля 2025 года и остаётся активной на момент публикации.
Описание
Разработчик известен под псевдонимами RockyBelling, Rockky, Rock и Mike. Он управляет криминальным маркетплейсом через собственный Telegram-канал Rocky War Room, который насчитывал 194 подписчика на момент анализа. Канал выполняет функции каталога продуктов, канала объявлений и службы поддержки. В описании профиля значится: "Anything Cyber!!!! Screenconnect always available", что кратко характеризует предложение. Операторы, купившие услугу, получают фишинговые наборы, инфраструктуру для скрытия трафика, самостоятельно размещённые панели удалённого доступа, инструменты массовой рассылки и скрипты для пост-эксплуатации.
Ключевые выводы из отчёта SOCRadar показывают, что единый разработчик построил многоуровневый криминальный сервис. В качестве финальной полезной нагрузки используется легитимное программное обеспечение для удалённого мониторинга и управления, в первую очередь ConnectWise ScreenConnect. Это даёт операторам интерактивный удалённый доступ к машинам жертв, при этом обходя сигнатуры обнаружения, характерные для традиционных вредоносных программ. Для фильтрации трафика применяется сервис Adspect, который гарантирует, что фишинговую страницу увидят только реальные жертвы, а исследователи, автоматические сканеры и изолированные среды (песочницы) получают перенаправление на легитимные сайты. Telegram используется как инфраструктура управления и контроля (C2) - каждый аффилиат получает уведомления о жертвах в реальном времени через собственных ботов.
Атака разворачивается в несколько этапов. На первом этапе операторы собирают адреса электронной почты с помощью скрейперов и инструментов массовой рассылки, также предлагаемых разработчиком. Наиболее популярная тема - налоговый сезон в США: письма имитируют уведомления о возврате налога от IRS, подтверждения подачи налоговых форм от SSA, а также рабочие процессы с W-2 через Adobe, DocuSign или Dropbox. Когда жертва переходит по ссылке, сервер сначала проверяет User-Agent - если устройство не на Windows, показывается безобидная страница ошибки. Затем запускается слой скрытия Adspect, который собирает данные браузерного отпечатка и перенаправляет исследователей на реальные легитимные порталы.
Те из посетителей, кто проходит обе проверки, видят имитацию портала Управления социального обеспечения США с высокой визуальной точностью. Взаимодействие на странице сводится к нажатию кнопки "Скачать выписку". После выбора операционной системы (обе версии ведут к одному и тому же файлу) запускается скрытая загрузка установщика ScreenConnect. Загруженный файл - это MSI или EXE, настроенный на подключение к конкретной панели ScreenConnect, принадлежащей данному аффилиату. После загрузки жертве показывается всплывающее окно с инструкцией запустить "Security Connector" для доступа к зашифрованным данным. Таким образом нормализуется запуск исполняемого файла под видом действия на государственном сайте.
В апреле 2026 года разработчик выпустил альтернативный вектор доставки - скрипт на VBS с обходом контроля учётных записей (UAC). Этот скрипт, открытый как вложение, автоматически запрашивает повышение привилегий, загружает MSI-установщик из публичных репозиториев GitHub или GitLab (что обходит блокировки по доменам) и устанавливает ScreenConnect в тихом режиме, попутно открывая подставной PDF-файл с выпиской из системы социального обеспечения. После установки скрипт удаляет MSI, заметая следы.
После получения доступа через ScreenConnect аффилиат может запускать скрипты пост-эксплуатации для кражи истории браузера и поиска документов с W-2. Эти данные могут содержать номера социального страхования, реквизиты работодателя и сведения о зарплате. Вывод данных осуществляется также через Telegram. Согласно данным мониторинга, более 90% жертв находятся в США. Наиболее атакуемые сектора - SaaS и разработка (17,4%), здравоохранение и медицинские технологии (15,8%), медиа и развлечения (14,7%), финтех и финансы (11,1%).
Эксперты полагают, что полученный доступ и украденные учётные данные могут перепродаваться другим злоумышленникам - брокерам начального доступа, а затем использоваться для атак с программами-вымогателями. Операция The Quarry продолжает работу, регистрируются новые домены, а канал Rocky War Room публикует обновления. Масштаб угрозы растёт по мере подключения новых аффилиатов, каждый из которых адаптирует единый инструментарий под свои цели.
Индикаторы компрометации
Domains
- apps.docu-sign.net
- estatetaxarchives.com
- estatetaxrecords.com
- hub.ssa-guidance.com
- hub.ssa-userstatus.com
- inherittaxpapers.site
- portal.federalverify-ssaclientportal.com
- secure.login-socialsecurity.com
- secure.ssa-documentsync.com
- tax-filecenter-irs.matthewtarwater.com
- trusttaxportal.com
- verify.federal-docviewer.com
MD5
- 00b69eb7f44b5987f68667343aaafb6a
- 01ab231bcd9533f90e99651521b6e1bb
- 1827aa636cd86d1a4064e112aa197303
- 2163afa18a3cdfa525b767e0e1baaba1
- 8974830446d35e234881696092aded87
- 935413b08ef60cd819b2e1b573fc9050
- ef970697c5094c443f0456774cfee9bc