MISTER X
Гуру проекта
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Атака продолжалась всего день, но её последствия обнаруживают до сих пор.
Атака PhantomCaptcha стала одной из самых сложных последних месяцев, направленных против гуманитарных и административных структур. SentinelLabs, злоумышленники создали тщательно продуманную схему, замаскированную под официальную рассылку государственного учреждения, чтобы заразить системы сотрудников крупных международных организаций. Целью кампании было получение удалённого доступа к устройствам и сбор конфиденциальных данных.
Письма содержали PDF-документ, внешне напоминающий официальное уведомление. Внутри файла находилась ссылка на поддельный сайт, стилизованный под страницу Cloudflare, которая просила пройти проверку reCaptcha. При нажатии на кнопку «Я не робот» появлялось окно с инструкцией, предлагающее скопировать «токен» и вставить команду в системное окно «Выполнить». Эта команда активировала -скрипт, который загружал вредоносный код с подставного домена zoomconference.app, принадлежавшего зарубежному хостинг-провайдеру. Пользователи сами запускали вредоносный сценарий, обходя защитные механизмы, отслеживающие запуск подозрительных файлов.
Основная нагрузка представляла собой трёхступенчатую цепочку PowerShell-скриптов. Первая часть выполняла роль загрузчика, скачивая второй компонент с ресурса «bsnowcommunications[.]com». Следующий этап собирал системные данные — имя компьютера, пользователя, домен и аппаратный идентификатор — после чего отправлял их в зашифрованном виде на тот же сервер. Последний элемент цепочки был удалённым средством администрирования, взаимодействующим с командным сервером через WebSocket-протокол. Он позволял выполнять произвольные команды, загружать дополнительные и управлять заражённой машиной в режиме реального времени.
Инфраструктура PhantomCaptcha просуществовала всего один день, что говорит о высокой оперативной скрытности. После завершения операции часть серверов была выключена, однако backend-компоненты продолжили функционировать, обслуживая уже скомпрометированные устройства. По данным аналитиков, техника атаки перекликается с активностью одной из известных хакерских группировок, хотя окончательная атрибуция пока не подтверждена.
При анализе серверов специалисты нашли следы другой кампании, ориентированной на мобильные устройства. С тех же IP-адресов распространялись фальшивые Android-приложения, например, под видом развлекательных сервисов. Эти программы запрашивали доступ к геолокации, контактам, фотографиям и журналам звонков, отправляя данные на управляющие серверы. Хотя связь с PhantomCaptcha пока не доказана, совпадение инфраструктуры и методов заставляет рассматривать эти случаи как звенья одной более широкой операции.
Атака показала, насколько опасными становятся , в которых вредоносный код запускает сам пользователь, не подозревая о подмене. Для защиты важно обращать внимание на любые сообщения, предлагающие вводить команды вручную, а также отслеживать попытки подключения к недавно зарегистрированным доменам, имитирующим известные сервисы. PhantomCaptcha демонстрирует, что даже короткая по времени операция может оказаться крайне разрушительной, если за ней стоят хорошо подготовленные специалисты, способные сочетать техническую изощрённость и продуманную психологическую манипуляцию.
Атака PhantomCaptcha стала одной из самых сложных последних месяцев, направленных против гуманитарных и административных структур. SentinelLabs, злоумышленники создали тщательно продуманную схему, замаскированную под официальную рассылку государственного учреждения, чтобы заразить системы сотрудников крупных международных организаций. Целью кампании было получение удалённого доступа к устройствам и сбор конфиденциальных данных.
Письма содержали PDF-документ, внешне напоминающий официальное уведомление. Внутри файла находилась ссылка на поддельный сайт, стилизованный под страницу Cloudflare, которая просила пройти проверку reCaptcha. При нажатии на кнопку «Я не робот» появлялось окно с инструкцией, предлагающее скопировать «токен» и вставить команду в системное окно «Выполнить». Эта команда активировала -скрипт, который загружал вредоносный код с подставного домена zoomconference.app, принадлежавшего зарубежному хостинг-провайдеру. Пользователи сами запускали вредоносный сценарий, обходя защитные механизмы, отслеживающие запуск подозрительных файлов.
Основная нагрузка представляла собой трёхступенчатую цепочку PowerShell-скриптов. Первая часть выполняла роль загрузчика, скачивая второй компонент с ресурса «bsnowcommunications[.]com». Следующий этап собирал системные данные — имя компьютера, пользователя, домен и аппаратный идентификатор — после чего отправлял их в зашифрованном виде на тот же сервер. Последний элемент цепочки был удалённым средством администрирования, взаимодействующим с командным сервером через WebSocket-протокол. Он позволял выполнять произвольные команды, загружать дополнительные и управлять заражённой машиной в режиме реального времени.
Инфраструктура PhantomCaptcha просуществовала всего один день, что говорит о высокой оперативной скрытности. После завершения операции часть серверов была выключена, однако backend-компоненты продолжили функционировать, обслуживая уже скомпрометированные устройства. По данным аналитиков, техника атаки перекликается с активностью одной из известных хакерских группировок, хотя окончательная атрибуция пока не подтверждена.
При анализе серверов специалисты нашли следы другой кампании, ориентированной на мобильные устройства. С тех же IP-адресов распространялись фальшивые Android-приложения, например, под видом развлекательных сервисов. Эти программы запрашивали доступ к геолокации, контактам, фотографиям и журналам звонков, отправляя данные на управляющие серверы. Хотя связь с PhantomCaptcha пока не доказана, совпадение инфраструктуры и методов заставляет рассматривать эти случаи как звенья одной более широкой операции.
Атака показала, насколько опасными становятся , в которых вредоносный код запускает сам пользователь, не подозревая о подмене. Для защиты важно обращать внимание на любые сообщения, предлагающие вводить команды вручную, а также отслеживать попытки подключения к недавно зарегистрированным доменам, имитирующим известные сервисы. PhantomCaptcha демонстрирует, что даже короткая по времени операция может оказаться крайне разрушительной, если за ней стоят хорошо подготовленные специалисты, способные сочетать техническую изощрённость и продуманную психологическую манипуляцию.
