Новая схема фишинга против релокантов

Яков Шпунт 27 Августа 2024 - 15:50

...

DLBI, российский сервис отслеживания утечек данных, обнаружил расширяющуюся фишинговую кампанию, ориентированную на русскоговорящих пользователей YouTube и зарубежных соцсетей.

Злоумышленники массово публикуют в YouTube и соцсетях русскоязычные объявления от имени различных несуществующих киберполиций, Интерпола, ЕЦБ и даже совета ЕС с предложениями вернуть деньги, украденные брокерами, криптосервисами и другими финансовыми институциями.

При переходе на страницу фишингового сайта предлагается подтвердить свой аккаунт в соцсети, а также ввести данные карты якобы для проведения процедуры возврата средства. После этого происходит хищение данных карты, а также «угон» учетных записей, который затем используются размещения аналогичных объявлений.

Кампания, как отметили в DLBI, ориентирована на релокантов, которые часто используют различные «черные» и «серые» схемы для вывода активов из России, обходя заблокированные вследствие санкционной политики банковские каналы.

По данным DLBI, только с начала августа Meta (признана экстремистской организацией и запрещена в России) получила более 500 жалоб на подобные объявления, что говорит о высокой эффективности фишинговой схемы как минимум в части кражи учетных записей.

Однако реакция как автоматических, так и живых модераторов на жалобы остается вялой: удаляются с первого раза менее 10% фишинговых объявлений, еще около 30% – после запроса повторной проверки. Более половины объявлений злоумышленников остаются активными до исчерпания лимита рекламного аккаунта.

Сами мошенники также совершенствуют схемы обмана. Так, в объявлениях они стали активно использоваться омоглифы (символы, внешне сходные с буквами русского алфавита, но имеющие другие коды). Таким образом преступники пытаются обмануть алгоритмы автоматической модерации.

Как отметил основатель сервиса DLBI Ашот Оганесян, мошенники всегда стараются получить что-то с уже обманутых пользователей и чаще всего под предлогом вернуть украденные ими же деньги, однако в данном случае, опасность представляет именно вирусность кампании, когда каждый взломанный аккаунт начинает работать на ее продвижение:

«Вопрос также вызывает пассивность модераторов крупнейших соцсетей, пропускающих весь этот фрод. Вероятно, после запрета работы в России, они кардинально сократили подразделения, отвечающие за русскоязычный контент, а AI не справляется с великим и могучим русским языком. В такой ситуации я бы посоветовал пользоваться российскими ресурсами, где нет проблем с модерацией и уровень фишинга значительно ниже. В любом случае, не стоит верить тому, что кто-то, кроме правоохранительных органов, вернет вам украденное. Но даже последние вряд ли попросят у вас данные карты, включая CVC-код».

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Мая 2026 - 21:12

Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство

Ghostwriter снова атакует Украину: PDF-приманки ведут к Cobalt Strike

Киберпреступная группа Ghostwriter устроила новую серию атак на украинские госорганизации. По данным ESET, кампания идёт как минимум с марта 2026 года и нацелена прежде всего на структуры, связанные с государственным сектором, обороной и военной тематикой.

Ghostwriter — не новичок в этом жанре. Группировка активна как минимум с 2016 года и известна кибершпионажем, фишингом и информационными операциями против стран Восточной Европы, особенно Украины.

У неё целый набор псевдонимов: FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 и White Lynx. Похоже на рэпера с кризисом идентичности.

В новой кампании злоумышленники рассылают целевые фишинговые письма с PDF-документами. Приманки маскируются под материалы украинской телекоммуникационной компании «Укртелеком». Внутри PDF находится ссылка, которая ведёт к RAR-архиву с JavaScript-пейлоадом.

Дальше начинается привычная матрёшка атакующих: скрипт показывает жертве отвлекающий документ, чтобы всё выглядело правдоподобно, а в фоне запускает JavaScript-версию PicassoLoader. Этот загрузчик затем может привести к установке Cobalt Strike Beacon — инструмента, который легитимно используется для пентестов, но давно стал любимой игрушкой атакующих.

При этом Ghostwriter не раздаёт вредоносную нагрузку всем подряд. В цепочке есть геофильтр: если IP-адрес жертвы не относится к Украине, сервер отдаёт безвредный PDF. Кроме того, PicassoLoader собирает отпечаток заражённой системы и отправляет его на инфраструктуру атакующих каждые 10 минут. После этого операторы вручную решают, стоит ли продолжать атаку и отправлять следующий этап.

Раньше Ghostwriter уже использовала PicassoLoader для доставки Cobalt Strike и njRAT, а также эксплуатировала уязвимость WinRAR CVE-2023-38831. В 2025 году группировка атаковала польские организации через уязвимость Roundcube CVE-2024-42009, похищая учётные данные почты. Полученные аккаунты могли использоваться для изучения переписки, выгрузки контактов и дальнейшей рассылки фишинга.

К концу 2025 года Ghostwriter добавила ещё один трюк — документы-приманки с динамической CAPTCHA. Идея проста: усложнить анализ и не палиться перед автоматическими системами проверки.

По оценке ESET, группировка продолжает обновлять инструменты, приманки и методы доставки. В Польше и Литве её цели шире: промышленность, производство, медицина, фармацевтика, логистика и госструктуры. В Украине же фокус заметно смещён на государственные, оборонные и военные организации.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!