Многоэтапная фишинговая кампания нацелена на Россию с использованием Amnesia RAT и программ-вымогателей

Хакеры используют GitHub и Dropbox для обхода защитных систем и внедрения Amnesia RAT и программ-вымогателей на российские цели. Это не обычное фишинговое письмо — это хирургический удар, предназначенный для отключения Microsoft Defender перед развертыванием полезной нагрузки.

Кампания начинается с фишингового письма, содержащего вредоносную ссылку. При нажатии на нее загружается сценарий PowerShell из GitHub, который отключает защиту в реальном времени Microsoft Defender. После того как защита отключена, сценарий загружает Amnesia RAT из Dropbox и выполняет его.

Amnesia RAT предоставляет злоумышленникам полный удаленный доступ к скомпрометированным системам — включая кейлоггинг, захват экрана, эксфильтрацию файлов и выполнение команд. Но на этом они не остановились. Та же инфраструктура развертывает программы-вымогатели для шифрования файлов и требования выкупа, удваивая ущерб.

Эта цепочка атак показывает, как субъекты угроз развиваются за пределы простых вложений вредоносного ПО. Используя законные сервисы, такие как GitHub и Dropbox, они затрудняют обнаружение и повышают успешность своих кампаний.

Исследователи безопасности, отслеживающие эту кампанию, отмечают изощренное использование техник living-off-the-land (LOLbins) и явное нацеливание на российские организации. Сочетание удаленного доступа и программ-вымогателей предполагает либо кражу данных, либо деструктивные намерения — или и то, и другое.