Многоэтапная фишинг-кампания с программами-вымогателями атакует пользователей в России
В России зафиксирована новая многоэтапная фишинг-кампания. Злоумышленники используют документы на бизнес-тематику, публичные облачные сервисы и инструмент defendnot для отключения Microsoft Defender. Целями атаки являются внедрение трояна Amnesia RAT для кражи данных и удалённого управления, а также развёртывание программы-вымогателя Hakuna Matata для шифрования файлов.
В России выявлена многоэтапная фишинг-кампания, использующая троян удаленного доступа Amnesia RAT и программы-вымогатели. Как сообщили исследователи Fortinet FortiGuard Labs изданию The Hacker News, атака начинается с рассылки документов на бизнес-тематику, которые служат визуальным отвлечением, пока вредоносная активность выполняется в фоне.
Кампания использует несколько публичных облачных сервисов: GitHub — для распространения скриптов, а Dropbox — для двоичных полезных данных. Её отличительной чертой является оперативное злоупотребление инструментом defendnot для отключения Microsoft Defender, он обманывается с помощью регистрации поддельного антивирусного продукта.
В качестве приманки распространяются сжатые архивы с русскоязычными именами файлов. Вредоносный ярлык (LNK) с двойным расширением при запуске инициирует цепочку загрузки скриптов PowerShell и Visual Basic из репозитория GitHub. Эти скрипты скрывают своё выполнение, отображают жертве поддельный документ и уведомляют злоумышленника через Telegram Bot API.
После закрепления в системе вредоносное ПО предпринимает ряд действий для снижения заметности. Согласно данным Fortinet, настраиваются исключения в Microsoft Defender, отключаются его компоненты, проводится разведка среды путём захвата скриншотов, отключаются административные инструменты Windows и подменяются ассоциации файлов для вымогательства.
Основной финальной нагрузкой является Amnesia RAT, загружаемый из Dropbox. Как указывается в материале, он способен красть данные из браузеров, криптовалютных кошельков, мессенджеров, а также осуществлять удалённое управление системой, передавая данные через Telegram и файлообменники.
Вторая полезная нагрузка — программа-вымогатель, производная от Hakuna Matata, которая шифрует файлы на конечной точке. Кроме того, она отслеживает буфер обмена для подмены криптовалютных адресов. Завершается цепочка развертыванием WinLocker для ограничения взаимодействия с пользователем.
По данным Fortinet, эта атака демонстрирует, как современные кампании могут полностью компрометировать систему, систематически злоупотребляя встроенными функциями Windows, не эксплуатируя уязвимости ПО.
Параллельно, как сообщается в материале, отделы кадров и финансов российских компаний стали целью другой угрозы — UNG0902 (Operation DupeHike), использующей фишинг для внедрения импланта DUPERUNNER, который загружает фреймворк AdaptixC2.
Также в последние месяцы, по информации исследователей, против российских организаций, вероятно, использовалась угроза Paper Werewolf (GOFFEE), доставляющая бэкдор EchoGather через сгенерированные ИИ приманки и вредоносные надстройки Excel XLL.
Ранее SecPost писал о том, что на фоне стабилизации общего количества фишинговых сайтов специалисты наблюдают их качественную трансформацию. Традиционные схемы, например, прямые хищения с карт, уходят в прошлое, уступая место стремительному росту высокотехнологичных атак с применением искусственного интеллекта и сервисов PhaaS.
Читайте также
