Один разработчик за полтора года превратил фишинг в сервис: 200 операторов атакуют через единый набор инструментов

phishing

За волной, казалось бы, разрозненных фишинговых кампаний, подделывающих уведомления от налоговой службы США, Управления социального обеспечения и брендов вроде DocuSign, стоит один разработчик. Он создал и продаёт около 200 операторам модульный набор для фишинга как услуги (PhaaS). Эту экосистему группа угроз SOCRadar назвала The Quarry. Она действует как минимум с апреля 2025 года и остаётся активной на момент публикации.

Описание

Разработчик известен под псевдонимами RockyBelling, Rockky, Rock и Mike. Он управляет криминальным маркетплейсом через собственный Telegram-канал Rocky War Room, который насчитывал 194 подписчика на момент анализа. Канал выполняет функции каталога продуктов, канала объявлений и службы поддержки. В описании профиля значится: "Anything Cyber!!!! Screenconnect always available", что кратко характеризует предложение. Операторы, купившие услугу, получают фишинговые наборы, инфраструктуру для скрытия трафика, самостоятельно размещённые панели удалённого доступа, инструменты массовой рассылки и скрипты для пост-эксплуатации.

Ключевые выводы из отчёта SOCRadar показывают, что единый разработчик построил многоуровневый криминальный сервис. В качестве финальной полезной нагрузки используется легитимное программное обеспечение для удалённого мониторинга и управления, в первую очередь ConnectWise ScreenConnect. Это даёт операторам интерактивный удалённый доступ к машинам жертв, при этом обходя сигнатуры обнаружения, характерные для традиционных вредоносных программ. Для фильтрации трафика применяется сервис Adspect, который гарантирует, что фишинговую страницу увидят только реальные жертвы, а исследователи, автоматические сканеры и изолированные среды (песочницы) получают перенаправление на легитимные сайты. Telegram используется как инфраструктура управления и контроля (C2) - каждый аффилиат получает уведомления о жертвах в реальном времени через собственных ботов.

Атака разворачивается в несколько этапов. На первом этапе операторы собирают адреса электронной почты с помощью скрейперов и инструментов массовой рассылки, также предлагаемых разработчиком. Наиболее популярная тема - налоговый сезон в США: письма имитируют уведомления о возврате налога от IRS, подтверждения подачи налоговых форм от SSA, а также рабочие процессы с W-2 через Adobe, DocuSign или Dropbox. Когда жертва переходит по ссылке, сервер сначала проверяет User-Agent - если устройство не на Windows, показывается безобидная страница ошибки. Затем запускается слой скрытия Adspect, который собирает данные браузерного отпечатка и перенаправляет исследователей на реальные легитимные порталы.

Те из посетителей, кто проходит обе проверки, видят имитацию портала Управления социального обеспечения США с высокой визуальной точностью. Взаимодействие на странице сводится к нажатию кнопки "Скачать выписку". После выбора операционной системы (обе версии ведут к одному и тому же файлу) запускается скрытая загрузка установщика ScreenConnect. Загруженный файл - это MSI или EXE, настроенный на подключение к конкретной панели ScreenConnect, принадлежащей данному аффилиату. После загрузки жертве показывается всплывающее окно с инструкцией запустить "Security Connector" для доступа к зашифрованным данным. Таким образом нормализуется запуск исполняемого файла под видом действия на государственном сайте.

В апреле 2026 года разработчик выпустил альтернативный вектор доставки - скрипт на VBS с обходом контроля учётных записей (UAC). Этот скрипт, открытый как вложение, автоматически запрашивает повышение привилегий, загружает MSI-установщик из публичных репозиториев GitHub или GitLab (что обходит блокировки по доменам) и устанавливает ScreenConnect в тихом режиме, попутно открывая подставной PDF-файл с выпиской из системы социального обеспечения. После установки скрипт удаляет MSI, заметая следы.

После получения доступа через ScreenConnect аффилиат может запускать скрипты пост-эксплуатации для кражи истории браузера и поиска документов с W-2. Эти данные могут содержать номера социального страхования, реквизиты работодателя и сведения о зарплате. Вывод данных осуществляется также через Telegram. Согласно данным мониторинга, более 90% жертв находятся в США. Наиболее атакуемые сектора - SaaS и разработка (17,4%), здравоохранение и медицинские технологии (15,8%), медиа и развлечения (14,7%), финтех и финансы (11,1%).

Эксперты полагают, что полученный доступ и украденные учётные данные могут перепродаваться другим злоумышленникам - брокерам начального доступа, а затем использоваться для атак с программами-вымогателями. Операция The Quarry продолжает работу, регистрируются новые домены, а канал Rocky War Room публикует обновления. Масштаб угрозы растёт по мере подключения новых аффилиатов, каждый из которых адаптирует единый инструментарий под свои цели.

Индикаторы компрометации

Domains

  • apps.docu-sign.net
  • estatetaxarchives.com
  • estatetaxrecords.com
  • hub.ssa-guidance.com
  • hub.ssa-userstatus.com
  • inherittaxpapers.site
  • portal.federalverify-ssaclientportal.com
  • secure.login-socialsecurity.com
  • secure.ssa-documentsync.com
  • tax-filecenter-irs.matthewtarwater.com
  • trusttaxportal.com
  • verify.federal-docviewer.com

MD5

  • 00b69eb7f44b5987f68667343aaafb6a
  • 01ab231bcd9533f90e99651521b6e1bb
  • 1827aa636cd86d1a4064e112aa197303
  • 2163afa18a3cdfa525b767e0e1baaba1
  • 8974830446d35e234881696092aded87
  • 935413b08ef60cd819b2e1b573fc9050
  • ef970697c5094c443f0456774cfee9bc

Комментарии: 0