Компания Cisco Talos обнаружила спам-кампанию, нацеленную на бразильских пользователей с использованием коммерческих инструментов удаленного мониторинга и управления (RMM) с начала 2025 года.
Описание
Злоумышленники вводят пользователей в заблуждение, используя бразильскую систему электронных счетов NF-e, чтобы привлечь их к переходу по гиперссылкам и получению доступа к вредоносному контенту в Dropbox. Инструменты RMM использовались для создания и распространения вредоносных агентов с целью загрузки и установки Screen Connect после компрометации.
Спам-кампания была обнаружена в Бразилии, где пострадавшими стали португалоговорящие пользователи. Через спам-сообщения, маскирующиеся под уведомления от финансовых учреждений или операторов сотовой связи, злоумышленники распространяют вредоносные инсталляторы RMM через Dropbox. Жертвами становятся высшее руководство, финансовые и кадровые специалисты. Цель заключается в установке RMM-инструмента на целевые машины для получения полного контроля над ними.
Злоумышленники злоупотребляют пробными учетными записями RMM-инструментов, устанавливая их на целевые машины. Компания N-able приняла меры по блокировке затронутых учетных записей. Talos обнаружила использование бесплатных почтовых сервисов и аккаунтов, соответствующих тематике спам-кампании. После компрометации, злоумышленник может устанавливать дополнительные RMM-инструменты и удалять средства защиты с машины.
Интерес злоумышленников к коммерческим RMM-инструментам увеличивается, поскольку они имеют цифровую подпись организаций и представляют собой полнофункциональные бэкдоры. Такие инструменты практически не требуют затрат, поскольку все необходимое обычно предоставляется в пробной версии. Talos провела анализ пробных учетных записей и отметила, что злоумышленники используют их для создания агентов с доступом к компрометированным машинам.
Индикаторы компрометации
Domains
- 198.45.54.34.bc.googleusercontent.com
URLs
- https://upload1.am.remote.management/
- https://upload2.am.remote.management/
- https://upload3.am.remote.management/
- https://upload4.am.remote.management/
SHA256
- 03b5c76ad07987cfa3236eae5f8a5d42cef228dda22b392c40236872b512684e
- 0759b628512b4eaabc6c3118012dd29f880e77d2af2feca01127a6fcf2fbbf10
- 080e29e52a87d0e0e39eca5591d7185ff024367ddaded3e3fd26d3dbdb096a39
- 0de612ea433676f12731da515cb16df0f98817b45b5ebc9bbf121d0b9e59c412
- 1182b8e97daf59ad5abd1cb4b514436249dd4d36b4f3589b939d053f1de8fe23
- 14c1cb13ffc67b222b42095a2e9ec9476f101e3a57246a1c33912d8fe3297878
- 2850a346ecb7aebee3320ed7160f21a744e38f2d1a76c54f44c892ffc5c4ab77
- 4787df4eea91d9ceb9e25d9eb7373d79a0df4a5320411d7435f9a6621da2fd6b
- 51fa1d7b95831a6263bf260df8044f77812c68a9b720dad7379ae96200b065dd
- 527a40f5f73aeb663c7186db6e8236eec6f61fa04923cde560ebcd107911c9ff
- 57a90105ad2023b76e357cf42ba01c5ca696d80a82f87b54aea58c4e0db8d683
- 63cde9758f9209f15ee4068b11419fead501731b12777169d89ebb34063467ea
- 79b041cedef44253fdda8a66b54bdd450605f01bbb77ea87da31450a9b4d2b63
- a2c17f5c7acb05af81d4554e5080f5ed40b10e3988e96b4d05c4ee3e6237c31a
- a71e274fc3086de4c22e68ed1a58567ab63790cc47cd2e04367e843408b9a065
- b53f9c2802a0846fc805c03798b36391c444ab5ea88dc2b36bffc908edc1f589
- c484d3394b32e3c7544414774c717ebc0ce4d04ca75a00e93f4fb04b9b48ecef
- ca11eb7b9341b88da855a536b0741ed3155e80fc1ab60d89600b58a4b80d63a5
- d1efebcca578357ea7af582d3860fa6c357d203e483e6be3d6f9592265f3b41c
- e2171735f02f212c90856e9259ff7abc699c3efb55eeb5b61e72e92bea96f99c
- e34b8c9798b92f6a0e2ca9853adce299b1bf425dedb29f1266254ac3a15c87cd
- ebdefa6f88e459555844d3d9c13a4d7908c272128f65a12df4fb82f1aeab139f
- f52b4d81c73520fd25a2cc9c6e0e364b57396e0bb782187caf7c1e49693bebbf
- f5efd939372f869750e6f929026b7b5d046c5dad2f6bd703ff1b2089738b4d9c
- F68ae2c1d42d1b95e3829f08a516fb1695f75679fcfe0046e3e14890460191cf