Поддельные приглашения на мероприятия: новая фишинговая кампания нацелилась на организации в США

Специалисты компании ANY.RUN обнаружили новую фишинговую кампанию 22 апреля 2026 года. К 27 апреля в их песочнице проанализировали почти 160 подозрительных ссылок, связанных с этой активностью, и выявили около 80 фишинговых доменов. Большинство доменов зарегистрировали в зоне .de, начиная с декабря 2025 года. Исследователи отметили, что атакующие используют единый фреймворк для массового развёртывания страниц-приманок, а некоторые элементы указывают на возможное применение генеративных нейросетей при создании контента.

Атака начинается с проверки CAPTCHA - чаще всего от Cloudflare, хотя встречаются и другие провайдеры. После прохождения проверки жертва попадает на страницу, которая сообщает о получении приглашения на мероприятие. Отсюда сценарий развивается в одном из двух направлений. В первом случае страница крадёт учётные данные электронной почты и одноразовые пароли (OTP). Во втором случае происходит установка легитимного программного обеспечения для удалённого управления (RMM-инструментов), таких как ScreenConnect, ITarian, Datto RMM, ConnectWise и LogMeIn Rescue. Примечательно, что страница может либо показывать кнопку загрузки, либо начинать скачивание автоматически, без действий пользователя.

Процесс перехвата учётных данных построен по-разному для сервисов Google и для остальных провайдеров. Если пользователь выбирает любой сервис, кроме Gmail, фишинговая страница открывает окно входа с запросом адреса электронной почты и пароля. После первого ввода система всегда сообщает об ошибке "Неверный пароль". Это заставляет жертву повторить попытку, что даёт злоумышленникам второй вариант на случай опечатки. Затем появляется форма для ввода одноразового пароля. Все эти формы одинаковы на всех фишинговых сайтах кампании. После отправки кода страница показывает пустое сообщение - к этому моменту учётные данные уже находятся у атакующих. Для Gmail применяется другой сценарий: пользователя перенаправляют на поддельную страницу авторизации Google, где перехватывают логин и пароль, после чего жертву перенаправляют на настоящий google.com.

Для руководителей отделов информационной безопасности (CISO) опасность заключается не просто в очередной волне фишинга. Сочетание кражи учётных данных, использования доверенных инструментов удалённого управления и инфраструктуры, которая выглядит легитимной, затрудняет обнаружение угрозы. Центры мониторинга информационной безопасности (SOC) сталкиваются с тем, что ранние признаки атаки выглядят как обычное поведение пользователя: проверка CAPTCHA и поддельная страница приглашения. Каждый шаг в отдельности может показаться безобидным, но вместе они создают путь к компрометации учётной записи или получению удалённого доступа. Если SOC реагирует только после кражи паролей или установки RMM-инструмента, защита уже отстаёт от угрозы.

Повторяющаяся инфраструктура даёт аналитикам сигналы для охоты. Исследователи ANY.RUN выявили характерный паттерн запросов при открытии фишинговой ссылки: сначала загружается главная страница, затем последовательно запрашиваются ресурсы /favicon.ico, /blocked.html и /Image/*.png. Иконки сервисов (office360.png, google.png, yahoo.png и другие) всегда хранятся по одному пути. Это позволяет выявлять связанные домены с помощью поискового запроса url:"/blocked.html" AND url:"/favicon.ico" and url:"/Image/*.png". Кроме того, в коде некоторых страниц обнаружены инструкции для операторов кампании о том, как редактировать страницу, что подтверждает использование набора инструментов для быстрого создания новых приманок.

Для организаций риски очевидны. Одно поддельное приглашение может привести к краже доступа к почтовому ящику, перехвату одноразовых паролей или установке инструмента удалённого управления внутри сети. Замедленное обнаружение возникает из-за того, что ранние фишинговые сигналы кажутся рутинными. Возрастает вероятность несанкционированного доступа через легитимные RMM-инструменты, которые не блокируются стандартными средствами защиты. Усиливается давление на команды SOC, которым нужно быстро соединять разрозненные сигналы. Сдерживание становится сложнее, когда домены и страницы-приманки постоянно меняются.

Специалистам по безопасности стоит обратить внимание на возможность получить видимость угрозы на ранних этапах, прежде чем учётные данные будут использованы или удалённый доступ станет точкой опоры внутри инфраструктуры. Интерактивные песочницы позволяют безопасно открыть подозрительную ссылку и сразу определить, ведёт ли она к поддельному приглашению, форме кражи логинов или загрузке RMM-инструмента. Анализ сетевых запросов, конечных точек отправки учётных данных и поведения загруженных файлов даёт основу для уверенных решений о блокировке и сдерживании. Использование угрозной разведки помогает находить связанные домены и повторяющиеся паттерны, превращая неопределённость в конкретные данные для реагирования.

Кампания с поддельными приглашениями напоминает: современный фишинг многолик и не ограничивается простой кражей паролей. Комбинация социальной инженерии, легитимных инструментов и повторяемой инфраструктуры требует от команд безопасности более внимательного подхода к анализу на ранних стадиях. Тот, кто сможет распознать угрозу до того, как злоумышленник получит доступ к почтовому ящику или установит удалённое управление, окажется в выигрышной позиции.

URL patterns

• https://<phish_site>/<url-pattern>/Image/office360.png
• https://<phish_site>/<url-pattern>/Image/office.png
• https://<phish_site>/<url-pattern>/Image/yahoo.png
• https://<phish_site>/<url-pattern>/Image/google.png
• https://<phish_site>/<url-pattern>/Image/aol.png
• https://<phish_site>/<url-pattern>/Image/email.png
• https://<phish_site>/blocked.html
• https://<phish_site>/<url-pattern>/processmail.php
• https://<phish_site>/<url-pattern>/process.php
• https://<phish_site>/<url-pattern>/pass.php
• https://<phish_site>/<url-pattern>/mlog.php
• https://<phish_site>/<url-pattern>/check_telegram_updates.php