Злоумышленникам необязательно взламывать крупную корпорацию, чтобы использовать её имя в своих целях. Достаточно просто одолжить его. В последней кампании киберпреступники применяют методы социальной инженерии, подставные домены и поддельные проверки, чтобы превратить обычное оповещение безопасности в доставку вредоносного ПО. Пользователи, следуя инструкциям, заражают собственные системы. Жертвам предлагают пройти процедуру верификации, а в итоге они сами запускают вредоносный код.
Описание
Атака начинается с электронного письма, которое имитирует сообщение от службы безопасности Amazon. В теме значится "Предупреждение безопасности: уведомление об аномалии при входе". Отправитель использует адрес no-reply@security.amazonassist[.]xyz, визуально похожий на настоящий домен Amazon. В тексте говорится, что учётная запись получателя заблокирована из-за подозрительной активности. Письмо содержит вымышленные данные о входе в систему: неизвестные местоположения, необычное время. Это давит на пользователя, заставляя действовать быстро, не задумываясь.
Крупная яркая кнопка "Подтвердить данные учётной записи" ведёт на подставной сайт amazonattention.com. Здесь начинается второй этап атаки - так называемая техника ClickFix. Вместо привычной проверки CAPTCHA (автоматизированный тест для отличия человека от программы) страница показывает инструкции. Пользователю предлагают нажать комбинацию Windows Key + R, чтобы открыть окно "Выполнить", затем вставить скопированную в буфер команду и нажать Enter. Сайт якобы проверяет, что пользователь не робот. На самом деле жертва запускает вредоносный код.
При переходе на страницу в буфер обмена незаметно копируется команда PowerShell. Она скрыта за надписью "Я не робот - проверка reCAPTCHA". Сам код содержит флаги -nop -w hidden, которые запускают PowerShell без отображения окна и без загрузки профиля пользователя. Далее скрипт декодирует строку в кодировке Base64 и преобразует её в читаемый текст. Затем выполняется ещё одна команда, которая загружает удалённый скрипт с сервера amazonalert.xyz/download/code.txt. Этот сервер также использует поддельное доменное имя, связанное с Amazon.
Загруженный файл code.txt содержит ещё один скрипт PowerShell. Он скачивает исполняемый файл с именем mysql.exe из облачного хранилища zoomupdate.b-cdn.net и сохраняет его в папку AppData\Local\Temp. Злоумышленники выбрали временную папку, потому что файлы там часто остаются незамеченными и быстро удаляются. После загрузки mysql.exe запускается с аргументом --pass=JHSgfsa2652. Без этого пароля программа не запускается - так авторы пытаются затруднить анализ. Если заражение прошло успешно, на экране появляется слово "Success", что создаёт иллюзию завершения безопасной верификации.
Специалисты компании Cofense обнаружили эту кампанию и провели анализ вредоносного кода. Судя по полученным данным, mysql.exe является трояном удалённого доступа. Исследователи назвали его HarborWatch Agent. При динамическом анализе программы выяснилось, что она устанавливает соединение с сервером по адресу 185.193.127.44. Этот сервер оказался командным центром злоумышленников. Через API-запросы, такие как /api/agent/tasks/ и /api/heartbeat, троян получает команды и отправляет информацию о заражённой системе. Среди собираемых данных: версия операционной системы, архитектура, имя компьютера, количество ядер процессора, объём диска и памяти, время работы системы, количество процессов и состояние сети.
Дальнейший анализ сервера управления показал, что по адресу 185.193.127.44 находится панель администратора. Интерфейс выполнен на китайском языке и содержит название, которое при переводе звучит как "Harbor Sentinel" или "Harbor Sentry". После входа в систему администратор может просматривать подключённые устройства, их статус в реальном времени и детали по каждому агенту. Это полностью соответствует тому, как работает HarborWatch Agent: он регулярно отправляет данные и запрашивает новые задачи через endpoint /api/agent/tasks/claim.
Таким образом, кампания использует сразу несколько уязвимых точек: доверие к бренду, поддельные домены, социальную инженерию и технику самоинфицирования. Пользователь сам выполняет действия, которые приводят к загрузке трояна. Такой подход обходит стандартные средства защиты, которые обычно анализируют вложения или ссылки в письмах. Вместо привычных методов доставки через вредоносные файлы или ссылки злоумышленники вынуждают жертву стать активным участником процесса заражения.
Важно отметить, что подобные атаки становятся всё более изощрёнными. Они маскируются под стандартные проверки безопасности, которые многие пользователи воспринимают как норму. Даже опытные специалисты могут не сразу распознать угрозу, если интерфейс выглядит правдоподобно. Компании, которые используют бренды крупных платформ для коммуникаций с клиентами, должны напоминать пользователям о правилах цифровой гигиены. Любое сообщение, требующее срочных действий или запуска команд на компьютере, должно вызывать подозрение.
Специалисты по информационной безопасности рекомендуют всегда проверять адрес отправителя и не переходить по ссылкам из подозрительных писем. Если письмо кажется официальным, лучше открыть сайт Amazon напрямую, вручную введя адрес в браузере. Ни один легитимный сервис не попросит вставить команду в окно "Выполнить" или запустить PowerShell для подтверждения личности. Эти простые меры помогут избежать заражения даже при самой аккуратной подделке.
Данный инцидент - очередное напоминание о том, что угрозы становятся всё более персонализированными и технически сложными. Злоумышленники активно используют психологические приёмы, чтобы обойти контроль. Противодействие таким атакам требует не только обновлённого антивирусного программного обеспечения, но и постоянного обучения пользователей. Только сочетание технических средств и человеческой бдительности способно снизить риски.
Индикаторы компрометации
IPv4
- 172.67.189.76
- 185.193.127.44
URLs
- http://185.193.127.44
- https://amazonalert.xyz/download/code.txt
- https://amazonattention.com/verify
MD5
- 09c121225fe254676a27c21943506714
- 33760b2aa86deea5805e647197c34ef5
- 9abebe5a34eefb80db12bf8d51bfe7f7
SHA256
- 3a87cab1e8c6868a7939eb422f1851ecc746405cda6b3d3502b9d8eedc360898
- 5f7bb80bf85c1fae7413eb534cc2f022402c8753f75666525adb1dc85a677f4c
- cf94ff2ecc4f3157704c9cfed5e446c405e7729141019045cb05ef6ffad122d5
