Новая RAT-кампания использует редирект-сервис на базе 16 500 сайтов

Татьяна Никитина 08 Апреля 2022 - 20:05

...

Новая RAT-кампания использует редирект-сервис на базе 16 500 сайтов

Эксперты предупреждают о новой вредоносной кампании: злоумышленники раздают замаскированный под обновление браузера RAT, используя новую систему распределения трафика (в Avast ее нарекли Parrot TDS). Провайдер полагается на взломанные серверы, где суммарно хостятся 16,5 тыс. сайтов госструктур, ВУЗов, частных блогеров и поставщиков порноконтента.

Системы TDS (traffic distribution/direction/delivery system) можно использовать и в легитимных целях — например, для проведения рекламных и маркетинговых кампаний. В случае абьюза возможность разделять и перенаправлять трафик значительно облегчает злоумышленникам выбор мишеней определенного профиля (на основании географического местоположения, используемого языка, типа ОС или браузера).

Криминальные редирект-сервисы встречаются нечасто. Так в 2016 году благодаря очередной кампании по распространению шифровальщика CryptXXX экспертам удалось выявить Blackhat TDS, а в 2017 году наблюдалась повышенная активность Seamless.

В данном случае провайдер внедрил на скомпрометированные серверы с уязвимой CMS (WordPress и Joomla) скрипт PHP, обладающий функциями бэкдора. Вредоносный код работает как фильтр: извлекает информацию о клиенте (содержимое строки User-Agent, реферер-запись, куки), перенаправляет запрос на C2-сервер Parrot и возвращает полученный ответ — JavaScript, исполняемый на стороне клиента.

На некоторых серверах вместо стороннего PHP был обнаружен веб-шелл, обеспечивающий захватчику более удобный доступ к взломанной системе. В ряде случаев использовался прямой доступ к Parrot TDS — короткое сквозное соединение, без кода-посредника.

Текущая вредоносная кампания использует JavaScript для отображения фейкового сообщения о необходимости обновить браузер, со ссылкой на загрузку файла. Вместо обещанного апдейта жертве отдается инструмент удаленного администрирования NetSupport, настроенный на работу в фоновом режиме.

Текущие вредоносные атаки, по данным Avast, начались в феврале, а сам сервис Parrot был запущен в октябре 2021 года. Его используют также фишеры — исследователям попались несколько правдоподобных страниц регистрации Microsoft, доступных через TDS-шлюз.

В прошлом месяце защитные решения ИБ-компании заблокировали более 600 тыс. попыток перехода на страницы с поддельным апдейтом. Большое количество таких событий было зафиксировано в Бразилии, Индии, США, Сингапуре и Индонезии. Примечательно, что настройка фильтров Parrot оказалась такой тонкой, что из тысяч потенциальных мишеней можно выбрать ту единственную, которой предназначен вредоносный груз.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 06 Апреля 2026 - 12:33

Трояны Целевые атаки Таргетированные атаки Малый и средний бизнес Корпорации F6

С новым годом взломанных бухгалтеров. Hive0117 крадет деньги через ДБО

Компания F6 зафиксировала атаки со стороны финансово мотивированной группировки Hive0117. Она с помощью трояна удаленного доступа получала доступ к системам дистанционного банковского обслуживания (ДБО) российских компаний и выводила оттуда денежные средства на подконтрольные счета. Средняя величина ущерба составила около 3 млн рублей.

Как отметили в компании, в феврале-марте 2026 года было зафиксировано несколько волн вредоносных рассылок, ориентированных на бухгалтеров. Причем со временем интенсивность таких рассылок росла. Всего письма были направлены в более 3 тыс. компаний.

Данную активность специалисты департамента киберразведки (Threat Intelligence) F6 связали с финансово мотивированной группировкой Hive0117 (также известная как Watch Wolf). Она появилась в феврале 2022 года, ее основной целью являются российские компании в сфере промышленности, ретейла, энергетики, медиа, туризма, финансов и страхования, телекома, транспорта и биотехнологий. Кроме того, атакует организации в Беларуси и Казахстане.

Рассылки писем, зараженных «фирменным» трояном группировки DarkWatchman, шли со скомпрометированных почтовых ящиков. Темой писем указывались обычно «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения».

Сам DarkWatchman представляет собой модульное средство скрытого удаленного управления компьютером. Также он может выполнять функции кибершпионажа и загружать другие зловреды. Он распространяется как вложение к письмам в виде RAR архива, защищенного паролем, который находится в тексте письма. Такая схема позволяет скрывать зловреды от фильтров.

Для вывода средств злоумышленники оформляли платежи для зачисления на банковские счета по реестру. Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов. Это позволяет группировке обходить антифрод-системы банков.

Средний ущерб компаний от атак Hive0117 составил 3 млн рублей. Максимальный достигал 14 млн.

«В условиях новых угроз мы рекомендуем банкам усилить защиту юридических лиц на стороне клиента, а также осуществлять обязательный контроль зарплатных реестров на стороне транзакционной антифрод системы», – советует Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.

Также в компании рекомендуют усилить защиту ПК с установленной системой ДБО, а также ограничить к ним доступ в интернет. Кроме того, в F6 настоятельно советуют повышать осведомленность пользователей о фишинге и строго следить за тем, чтобы операторы не оставляли подключенными токены.

В середине 2025 года российские компании также столкнулись с массовыми атаками через ДБО. В 2026 году мы также прогнозировали высокую активность такого рода злоумышленников. Она началась даже раньше, чем мы предполагали.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!