Эксперты по кибербезопасности зафиксировали новую целенаправленную фишинговую кампанию, в которой злоумышленники применяют легальный инструмент для удалённого доступа NetBird. Жертвами становятся финансовые директора и руководители финансовых отделов банков, энергетических компаний, страховых и инвестиционных фирм из Европы, Африки, Канады, Ближнего Востока и Южной Азии.
«Это многоступенчатая фишинговая атака, в ходе которой на устройство жертвы устанавливается NetBird — легальный инструмент удалённого доступа на базе WireGuard», — рассказал в своём исследовании эксперт Trellix Срини Ситтапатхи.
Атака была обнаружена компанией по кибербезопасности в середине мая 2025 года. Пока она не связана с известными хакерскими группами или угрозами.
Всё начинается с фишингового письма, в котором злоумышленники выдают себя за рекрутера из Rothschild & Co и обещают адресату «стратегическую возможность». В письме содержится вложенный PDF — на самом деле это ссылка на фишинговый сайт, размещённый через Firebase.
Особенность атаки в том, что реальный URL для редиректа спрятан на странице в зашифрованном виде и открывается только после прохождения CAPTCHA, после чего загружается ZIP-архив.
«Решение CAPTCHA запускает JavaScript-функцию, которая с помощью встроенного ключа расшифровывает ссылку и перенаправляет пользователя на нужный сайт», — объясняет Ситтапатхи. «Злоумышленники всё чаще используют такие хитрые проверки CAPTCHA, чтобы обходить блокировки сайтов, защищённых Cloudflare Turnstile или Google reCAPTCHA.»
Внутри архива находится скрипт на Visual Basic (VBScript), который скачивает следующий этап атаки с удалённого сервера и запускает его через «wscript.exe». Второй скрипт загружает ещё один файл, переименовывает его в «trm.zip» и распаковывает два MSI-файла: NetBird и OpenSSH.
Заключительный штрих — установка этих программ на заражённом устройстве, создание скрытой локальной учётной записи, включение удалённого рабочего стола и настройка автозапуска NetBird через планировщик заданий. Чтобы не оставлять следов, вредоносное ПО удаляет ярлыки NetBird с рабочего стола.
Специалисты Trellix также обнаружили другой URL для редиректа, который работал почти год и распространял тот же VBScript, что говорит о долгосрочности кампании.
Эти факты подтверждают, что злоумышленники всё чаще используют легальные удалённые инструменты, такие как ConnectWise ScreenConnect, Atera, Splashtop, FleetDeck и LogMeIn Resolve, чтобы закрепиться в сетях жертв и остаться незамеченными.
«Это не обычный фишинг», — подчёркивает Ситтапатхи. «Атака тщательно продумана, ориентирована на конкретных жертв, действует аккуратно и старается обходить технические и человеческие проверки. Это многоступенчатое проникновение, где злоумышленники используют социальную инженерию и методы обхода защиты для долгосрочного контроля.»
Вместе с этим раскрытием отмечены и другие масштабные кампании социального инжиниринга по электронной почте:
- Фишинговые письма от имени доверенного домена крупного японского интернет-провайдера с адреса "company@nifty[.]com" — злоумышленники пытаются обойти проверки почты и украсть учётные данные.
- Использование Google Apps Script для создания фишинговых страниц, имитирующих законные сайты, чтобы украсть данные входа Microsoft через письма, связанные со счетами.
- Мошенничество с фальшивыми счетами Apple Pay для кражи конфиденциальной информации — от данных кредитных карт до паролей от Yahoo Mail.
- Размещение фишинговых страниц в рабочих пространствах Notion, вынуждающих пользователей перейти на поддельную страницу входа Microsoft и передать данные через Telegram-бота.
- Эксплуатация уязвимости Microsoft Office (CVE-2017-11882) для доставки вредоносного ПО Formbook, замаскированного под файл PNG, с целью кражи данных с заражённых устройств.
Как сервисы PhaaS упрощают задачу злоумышленникам
Кроме того, специалисты Trustwave выявили связь между фишинговыми наборами Tycoon и DadSec (известным также как Phoenix), показав общую инфраструктуру и централизованный сервис Phishing-as-a-Service. DadSec связывают с кибергруппой, которую Microsoft идентифицирует как Storm-1575.
«Инфраструктура DadSec задействована и в новой кампании с использованием PhaaS-платформы Tycoon 2FA», — отмечают исследователи Trustwave Крис Томбок и Кинг Оранд. «Изучение набора Tycoon2FA показывает, как злоумышленники совершенствуют основы и расширяют возможности Phishing-as-a-Service.»
Рост популярности PhaaS-сервисов проявляется в новом китайскоязычном наборе Haozi, который доступен по подписке за 150 тысяч рублей в год. За последние пять месяцев он помог организовать мошеннические операции на сумму более 21 миллиона рублей, продавая рекламу сторонним сервисам.
«В отличие от устаревших наборов, требующих ручной настройки, Haozi предлагает удобную веб-панель управления», — поясняет Netcraft. «После покупки сервера и ввода данных весь фишинговый софт настраивается автоматически, без необходимости работать с командной строкой.»
«Такой простой старт заметно выделяет Haozi на фоне других PhaaS-решений, например AI-ориентированного Darcula, где минимальные действия в командной строке всё же остаются обязательными.»
Помимо панели управления кампаниями, Haozi представляет рекламное пространство, выступая посредником между покупателями фишинговых наборов и сторонними сервисами — включая SMS-провайдеров.
Отдельной особенностью Haozi стала поддержка через Telegram-канал (@yuanbaoaichiyu), где пользователи получают помощь и советы по оптимизации своих фишинговых кампаний — что делает сервис доступным даже для новичков.
«Пока корпоративные команды безопасности становятся лучше в выявлении взломов, злоумышленники переходят на социальную инженерию и фишинг — методы, которые не требуют прямого обхода надёжных защитных систем», — отмечает исследователь Netcraft Гарри Эверетт.
«PhaaS-сервисы значительно упрощают работу хакеров, автоматизируя атаки и предоставляя поддержку сообщества. Эти модели всё больше напоминают SaaS-компании с подписками, поддержкой клиентов и регулярными обновлениями, а не традиционные тёмные хакерские группы.»
В недавнем отчёте Microsoft объяснила, как платформы PhaaS стимулируют рост атак посреднического типа (AiTM) в фишинге, особенно на фоне широкой популярности многофакторной аутентификации (MFA).
Кроме того, злоумышленники всё чаще используют фишинг с запросами кода устройства; фишинг через протокол OAuth с просьбой разрешить доступ третьему приложению; а также фишинг с подключением устройства, заставляя пользователей одобрять присоединение заражённого устройства к корпоративному домену.
Microsoft фиксирует случаи, когда подозреваемые группы, связанные с Россией, рассылают приглашения на встречи с вредоносными ссылками и активными кодами авторизации. Этот метод впервые описала компания Volexity в апреле 2025 года.
«Хотя средства защиты и пользователи стали лучше распознавать подозрительные ссылки и вложения, мотивированные злоумышленники по-прежнему легко вводят людей в заблуждение с помощью правдоподобных приманок», — говорит Игорь Сахнов, вице-президент Microsoft и заместитель главного специалиста по информационной безопасности (CISO) по вопросам идентификации.
«Поскольку такие атаки основаны на обмане, обучение и повышение осведомлённости сотрудников остаются самой надёжной защитой.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru
