Исследователи кибербезопасности компании Censys обнаружили новую целенаправленную кампанию, в которой злоумышленники используют социальную инженерию для обмана пользователей. Целью атак является скрытная установка легального инструмента удаленного мониторинга и управления (RMM, Remote Monitoring and Management) на компьютеры жертв. Это предоставляет злоумышленникам полный контроль над зараженными системами.
Описание
Кампания, впервые замеченная 12 января 2026 года, использует тщательно продуманные фишинговые страницы, стилизованные под уведомления о голосовой почте. Атаки в основном нацелены на немецкоязычных пользователей. В частности, злоумышленники создали 86 веб-ресурсов, которые имитируют страницы служб голосовых сообщений. Страницы выполнены на немецком языке и выглядят минималистично и функционально, что призвано вызвать доверие и не вызывать подозрений.
Механика атаки построена на многоэтапном сценарии, который убеждает жертву самостоятельно запустить вредоносный процесс. Вначале пользователь получает ссылку и переходит на поддельную страницу. На ней отображается сообщение о новом голосовом сообщении с предложением его прослушать. После взаимодействия с сайтом автоматически загружается BAT-файл, замаскированный под обновление для медиаплеера или аудиокодека.
Запуск этого файла инициирует выполнение скрипта, который отображает в командной строке безобидные сообщения о процессе обновления. Пользователя также просят подтвердить любые всплывающие системные предупреждения. Этот шаг критически важен для социальной инженерии, поскольку он заранее оправдывает любые запросы операционной системы на разрешение установки. Параллельно скрипт воспроизводит аудиозапись-приманку, размещенную в облачном хранилище Amazon S3, что создает у жертвы иллюзию легитимности происходящего.
Пока жертва слушает это отвлекающее аудио, на ее компьютер в фоновом режиме устанавливается легальное ПО для удаленного администрирования Remotely RMM. Однако программа настраивается на подключение к серверу управления, контролируемому злоумышленниками. После успешной установки система жертвы регистрируется в инфраструктуре атакующих по адресу "hxxps://remotely[.]billbutterworth[.]com". Это обеспечивает злоумышленникам постоянный удаленный доступ к устройству.
Специалисты Censys отмечают, что данная атака полностью полагается на методы социальной инженерии, а не на эксплуатацию программных уязвимостей. Использование легитимного инструмента RMM, такого как Remotely, позволяет злоумышленникам долгое время оставаться незамеченными. Обычно подобные программы не вызывают подозрений у систем безопасности. Получив точку опоры в системе, злоумышленники могут реализовать свои дальнейшие цели, такие как перемещение по корпоративной сети, кража конфиденциальных данных или развертывание дополнительного вредоносного кода.
Эксперты подчеркивают, что подобные сложные многоэтапные атаки, использующие легитимное ПО, становятся все более распространенными. Они представляют серьезную угрозу как для обычных пользователей, так и для организаций. Основной рекомендацией по защите является постоянное обучение цифровой грамотности. Пользователям следует с подозрением относиться к любым неожиданным уведомлениям, особенно с предложением что-либо скачать или установить. В корпоративной среде критически важно внедрять принцип наименьших привилегий и внимательно контролировать установку любого программного обеспечения, включая инструменты администрирования. Обнаружение подобной активности требует тщательного аудита всех систем на наличие несанкционированных RMM-агентов.
Индикаторы компрометации
Domains
- allsouthfcu.cadillac.ps
- bannerbank.cadillac.ps
- blazeccu.cadillac.ps
- coastalccu.cadillac.ps
- landmarkcuu.cadillac.ps
- rallycuu.cadillac.ps
- remotely.billbutterworth.com
- royalcu.cadillac.ps
- smbk.cadillac.ps
- ulstersavingsbnk.cadillac.ps
- vaccu.cadillac.ps
- www.allsouthfcu.cadillac.ps
- www.bannerbank.cadillac.ps
- www.blazeccu.cadillac.ps
- www.coastalccu.cadillac.ps
- www.landmarkcuu.cadillac.ps
- www.rallycuu.cadillac.ps
- www.royalcu.cadillac.ps
- www.smbk.cadillac.ps
- www.ulstersavingsbnk.cadillac.ps
- www.vaccu.cadillac.ps
URLs
- https://messagecentermywesternbutkectlistvmailspecial.s3.eu-west-1.amazonaws.com/femail1757597626625014171+(mp3cut.net)+(1).wav
- https://remotely.billbutterworth.com/api/ClientDownloads/WindowsInstaller/Install-Remotely.ps1
- https://remotely.billbutterworth.com/api/devices
- https://remotely.billbutterworth.com/Content/Remotely-Win-x64.zip
- https://remotely.billbutterworth.com/Content/Remotely-Win-x86.zip
SHA256
- 2c01ccac4e5b444ef525d0ce3a84939d2c12d125235cba9265b5650c1c9f9ef2
- 31b891e0f07058feb3b175fe5347682676448581e652d5d555f6d556e60d1bb6
- 7a434ad209d7166c04ede9668b55b63936c267e1df7bb62403a869288552c775
- 97aaa866b285a518d99a99921f1e85f48ca74b49aa3dff0129c6cbfabf33aa5e
- bb50fcfccfc361c79a8a765c57b43c490490e31b00d18cbe90f22cebb34a79b5
- cd2add8e4a9e623ae4dbfd0350bd6f881c1343a979c723d8a5a8101e99ca4c17
- d14a3c204c45915605b8d63721611a28980fcc77fbee65227a98fb3c4ade685c
