Злоумышленники используют взломанные сайты WordPress для распространения RAT NetSupport через поддельные CAPTCHA-страницы

Злоумышленники используют фишинговые рассылки, чтобы заставить жертв перейти на скомпрометированные веб-сайты. Основные каналы распространения включают электронные письма с вложениями в формате PDF, поддельные уведомления в социальных сетях и рекламу на игровых сайтах. После перехода на вредоносную страницу жертва сталкивается с рядом скрытых техник, направленных на загрузку RAT.

Цепочка атаки:

1. Компрометация сайта: Атакующие внедряют вредоносный JavaScript в мета-описание или ссылки на веб-странице, что приводит к загрузке скрипта j.js с домена islonline[.]org.
2. Манипуляция DOM: После загрузки скрипта сайт подменяет часть контента, показывая пользователю фальшивую CAPTCHA-страницу.
3. Загрузка вредоносного ПО: Под предлогом проверки пользователю предлагается выполнить команду, которая копируется в буфер обмена и запускается через диалоговое окно "Выполнить" (Win + R). В результате загружается и исполняется пакетный файл (jfgf.bat).
4. Установка NetSupport RAT: Бат-файл скачивает ZIP-архив с NetSupport Client, распаковывает его в папку AppData\Roaming и добавляет автозагрузку через реестр.

На первом этапе вредоносный скрипт j.js определяет операционную систему жертвы (Windows) и загружает iframe с PHP-файлом, который, в свою очередь, внедряет дополнительный JavaScript (select.js). Этот скрипт генерирует поддельную CAPTCHA-страницу с инструкциями по выполнению команды, замаскированной под стандартную проверку.

После выполнения команды система загружает ZIP-архив, содержащий NetSupport Client и сопутствующие DLL-библиотеки. Вредоносный клиент подключается к серверу управления злоумышленника (94.158.245.0/24, MivoCloud SRL) и ожидает команд.

Для усложнения анализа атакующие используют несколько техник:

• Добавление "мусорных" комментариев в бат-файлы.
• Динамическая подгрузка скриптов с подменой доменов.
• Хранение данных в localStorage браузера для избежания повторных срабатываний на одном устройстве.

Данная кампания демонстрирует, как легальные инструменты могут быть обращены против организаций. Актуальные индикаторы компрометации (IOCs) и сигнатуры опубликованы в полном отчете Cybereason.

IPv4

• 107.180.0.222
• 162.214.153.12
• 172.67.70.20
• 193.111.208.110
• 209.17.116.165
• 23.23.49.179
• 50.87.146.66
• 77.83.199.34
• 79.141.173.158
• 83.229.17.68
• 94.158.245.104
• 94.158.245.118
• 94.158.245.131
• 94.158.245.137

Domains

• ace-project.org
• badgervolleyball.org
• christianlouboutin2017.top
• fmovies123.top
• islonline.org
• jaagnet.com
• jakestrack.com
• lang3666.top
• pemptousia.com

MD5

• 1768c9971cea4cc10c7dd45a5f8f022a
• 20ed4df3a9c734c1788bd2ca2658aedb
• 4f496bfde39ca83644265d8d1d9bc9da
• 9c4349534c137e3e43fb2e2caf049f9d
• c05f8ec5afbabc36f1c1366549290ae6
• ee75b57b9300aab96530503bfae8a2f2