/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2Fe423c39db74451ccefd7fcbe3a6399a1.jpg)
Хакери атакували організації, що допомагають потерпілим від війни в Україні
Як працювала нова атака?
Атака, що відбулася 8 жовтня, отримала назву PhantomCaptcha. Вона була короткочасною, але інтенсивною. Дослідники з компанії SentinelLABS зазначають, що зловмисники витратили значний час на підготовку інфраструктури, адже деякі домени для цієї операції були зареєстровані ще наприкінці березня. Ціллю стали члени українських регіональних адміністрацій та організації, що надають допомогу постраждалим від війни, зокрема Міжнародний комітет Червоного Хреста та UNICEF, пише 24 Канал.
Все починалося з розсилки фішингових електронних листів, замаскованих під офіційні повідомлення від Офісу Президента України. Ці листи містили шкідливі PDF-файли з посиланням на домен, що імітував платформу для відеоконференцій Zoom. Коли потенційна жертва переходила за посиланням, на екрані з'являвся процес автоматичної перевірки браузера, після чого мав би відбутися перехід до конференції.
Фішинговий електронний лист / Фото SentinelLABS
На цьому етапі для користувача генерувався унікальний ідентифікатор, який надсилався на сервер злочинців. Якщо ідентифікатор збігався з тим, що був у базі хакерів, браузер перенаправляв людину на справжню, захищену паролем Zoom-конференцію. Дослідники припускають, що в такому випадку зловмисники могли в реальному часі застосовувати методи соціальної інженерії, спілкуючись із жертвою напряму.
Однак якщо ідентифікатор не збігався, користувачу пропонували пройти додаткову перевірку безпеки, щоб довести, що він не робот. Це була фейкова CAPTCHA-панель. Інструкції українською мовою пропонували скопіювати "токен" і вставити його в командний рядок Windows. Насправді ж цей "токен" був замаскованою командою PowerShell, яка після виконання завантажувала та запускала шкідливий скрипт. Цей скрипт збирав системні дані: ім'я комп'ютера, інформацію про домен, ім'я користувача, ідентифікатор процесу та UUID системи, відправляючи все на командний сервер хакерів.
Інструкції для запуску токена / Фото SentinelLABS
Кінцевою метою атаки було встановлення полегшеного трояна віддаленого доступу (RAT) на базі WebSocket. Це шпигунське програмне забезпечення дозволяло зловмисникам віддалено виконувати команди на комп'ютері жертви та викрадати дані.
Хоча SentinelLABS не робить прямої заяви про те, хто стоїть за атакою, дослідники вказують, що троян розміщувався на російській інфраструктурі, пише Bleeping Computer. Крім того, цю кампанію пов'язують з подальшою операцією, спрямованою на користувачів у Львові, де користувачам поширювали шпигунські додатки для Android під виглядом контенту для дорослих або інструментів хмарного сховища. Ці програми діють як шпигуни, відстежуючи місцезнаходження жертви в режимі реального часу, журнали викликів, список контактів та зображення, передаючи їх зловмисникам.
Схожі методи атак з використанням фейкових CAPTCHA раніше фіксувала й група аналізу загроз Google (GTIG). Як ми писали раніше, експерти приписують такі атаки угрупованню ColdRiver (також відомому як Star Blizzard), яке пов'язують із російською ФСБ.