Волна целевых фишинговых атак, начавшаяся во второй половине 2025 года, демонстрирует растущую изощрённость злоумышленников, эксплуатирующих тему трудоустройства. Вместо массовых рассылок атакующие создают тщательно проработанные копии сайтов малого бизнеса и карьерных порталов, преследуя две ключевые цели: хищение учётных записей для доступа к государственным сервисам США и закрепление в системах жертв через вредоносное программное обеспечение для удалённого управления. Эта кампания наглядно показывает, как киберпреступники комбинируют социальную инженерию и технические уловки для прямого финансового мошенничества и создания плацдармов для последующих атак.
Описание
Активность, по данным исследователей, включает два отдельных, но методологически схожих кластера. Первый сфокусирован на хищении логинов и паролей от сервиса ID.me - официального поставщика услуг идентификации для таких государственных ведомств США, как Налоговая служба (IRS) и Управление социального обеспечения (SSA). Получив эти данные, злоумышленники могут совершать несанкционированные входы для кражи налоговых возмещений, оформления fraudulent unemployment benefits (мошеннических пособий по безработице) или захвата счетов в системе социального обеспечения. Второй кластер нацелен на доставку вредоносного ПО, маскирующегося под приглашение на собеседование в Microsoft Teams, что в итоге предоставляет атакующему полный контроль над компьютером жертвы.
Технический анализ выявил общие паттерны регистрации доменов, используемых в атаках, что указывает на возможную связь между кампаниями или использование одних и тех же инфраструктурных провайдеров. Все подозрительные домены используют nameserver "namecheaphosting.com", их IP-адреса принадлежат компании Namecheap Inc., а в качестве почтовых серверов фигурируют домены "privateemail.com" и "jellyfish.systems". Сертификаты SSL выпущены центром Sectigo, регистратором выступает NameCheap Inc., а серверы работают на платформе Microsoft. Например, для кражи учётных данных ID.me используются домены "clock-towerrealty[.]org" и "apply-untide[.]rentals".
Механизм фишинга для края учётных данных построен на детальном копировании легитимного карьерного портала компании United Rentals. Сайт-ловушка загружает контент с реального домена "jobs.unitedrentals[.]com", что повышает доверие жертвы. Однако кнопки "Continue Application" и "APPLY HERE" ведут на контролируемый злоумышленниками домен "clock-towerrealty[.]org". Этот домен содержит фишинговую страницу, стилизованную под корпоративный портал, которая запрашивает email и пароль, целенаправленно нацеливаясь на ID.me. Интересно, что сайт использует предзагруженное сообщение об ошибке, чтобы спровоцировать пользователя повторно ввести данные, убеждая его в том, что первая попытка была неудачной из-за опечатки. Введённые учётные данные отправляются на скрипт "admin-ajax.php", что типично для хранения данных в базе WordPress.
Любопытной деталью, выдавшей мошенников, стали имена файлов изображений на фишинговом сайте: "WhatsApp-Image-2026-01-16-at-12.23.50-PM-300x117.jpeg" и аналогичные. Это указывает на то, что в процессе разработки сайта злоумышленники, вероятно, пересылали скриншоты легитимных логотипов через мессенджер WhatsApp. Для легальной компании уровня United Rentals такой подход к веб-разработке немыслим. Кроме того, на сайте обнаружен идентификатор Google Tag Manager (GTM) "GTM-T75PDC7R", который также присутствует на других связанных доменах, созданных в период с августа 2025 по январь 2026 года, что подтверждает серийный характер кампании.
Второй кластер атак использует более агрессивный подход. Вместо сбора данных он напрямую ведёт к компрометации системы. Домен "mlcrsoftedge[.]com", маскирующийся под сайт небольшой строительной компании, используется в фишинговых письмах с приглашением на собеседование. Кнопка "Join Meeting" в таком письме инициирует загрузку вредоносного установочного MSI-файла под названием "LSXCMeets.msi". Этот файл представляет собой модифицированную, неподписанную цифровой подписью версию легитимного инструмента удалённого доступа Connectwise. Установка такого ПО предоставляет злоумышленнику практически неограниченный доступ к компьютеру жертвы, позволяя проводить дальнейшие атаки, красть данные или использовать систему в качестве плацдарма для движения по корпоративной сети. Исследовательский [отчёт] указывает, что хэши связанных файлов встречаются в базах данных угроз с апреля 2025 года, при этом пик активности пришёлся на ноябрь того же года.
Оба типа атак объединяет общая тематика (маскировка под малый бизнес и вакансии), схожие методы регистрации доменов и временные рамки проведения кампаний. Хотя прямых доказательств работы одного и того же актора на оба направления нет, высокая корреляция косвенных признаков позволяет рассматривать их как части скоординированной стратегии. Эта кампания служит серьёзным напоминанием для специалистов по кадрам, соискателей и ИТ-отделов о необходимости повышенной бдительности. Простые проверки, такие как внимательный анализ доменного имени в ссылке, отказ от загрузки неподписанного ПО из непроверенных источников и использование двухфакторной аутентификации для критически важных сервисов вроде ID.me, могли бы предотвратить успех большинства подобных атак. В условиях, когда граница между профессиональным и личным взаимодействием в цифровой среде стирается, социальная инженерия, построенная вокруг карьеры, остаётся одним из самых эффективных инструментов в арсенале киберпреступников.
Индикаторы компрометации
Domains
- apply-untide.rentals
- clock-towerrealty.org
- forms-unitde.rentals
- froms-united.rentals
- from-unietd.rentals
- from-united.rentals
- frosm-unitde.rentals
- mlcrsoftedge.com
URLs
- https://mlcrsoftedge.com/downloads/LSXCMeets.msi
SHA256
- 4107f8e0d6597866d4beb7c30718935353782dc7e199d3956fd10c8456383feb
- 7027b69ab6ebc9f3f7d2f6c800793fde2a057b76010d8cfd831cf440371b2b23
