СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 марта
#ИБ

Фишинг Yoroi: RMM (GoTo Resolve) обеспечивает скрытый удалённый доступ

Исследователи безопасности зафиксировали новую волну фишинг-атак, маскирующихся под обновление настольного кошелька Yoroi. Злоумышленники выдают поддельные письма за официальные уведомления об «улучшенной защите» и поддержке аппаратного кошелька (Hardware), подталкивая пользователей к загрузке вредоносного установщика.

Суть атаки

В фишинг‑рассылке использовался профессиональный тон и ссылка на аккуратно оформленную целевую страницу — это создавало видимость легитимности и могло ввести пользователя в заблуждение. Вместо ожидаемого кошелька загрузчик незаметно устанавливает инструмент удалённого доступа GoTo Resolve в автоматическом режиме. В ряде случаев злоумышленники также используют ConnectWise ScreenConnect для развертывания полезной нагрузки.

«В конечном итоге злоумышленники получают полный удалённый доступ к устройствам жертв», — следует из анализа кампании.

Механизм и особенности кампании

  • Основной вектор — перенаправление жертвы на загрузку установщика, который маскируется под официальный софт кошелька.
  • Загрузчики размещаются на авторитетных файлообменных сервисах (в наблюдаемых случаях — gofile.io), что снижает подозрения и осложняет блокировку.
  • Атакующие не прибегают к классическим эксплойтам или напрямую к традиционному malware: они используют легитимные RMM‑инструменты (GoTo Resolve, ConnectWise ScreenConnect), предназначенные для удалённого управления.
  • Типичная черта кампании — интеграция инструментов удалённого мониторинга и управления (RMM) в фасад законного процесса распространения кошелька.

Почему это опасно

Использование легитимного ПО в злонамеренных целях делает обнаружение и блокировку таких атак сложнее. Поскольку установщики хостятся на надежных сервисах, фильтры и антивирусы могут не сработать быстро, а пользователи чаще доверяют загрузкам с известных платформ. Полученный удалённый доступ позволяет злоумышленникам управлять устройством жертвы так, как будто это доверенный администратор — вплоть до кражи приватных ключей, перехвата сессий и установки дополнительного ПО.

Признаки компрометации и индикаторы для пользователей

  • неожиданные письма с предложением «обновления» кошелька, даже если вы не запрашивали обновление;
  • ссылки на хорошо оформленные страницы, но не на официальный сайт Yoroi;
  • скачивание установщика с третьих сервисов (например, gofile.io), а не с официального источника;
  • необычная активность удалённого доступа на компьютере (попытки соединения с неизвестными серверами, запущенные сессии удалённого управления).

Рекомендации по защите

  • Загружайте кошельки и обновления только с официальных сайтов и проверяйте URL.
  • Не запускайте исполняемые файлы, полученные по электронной почте или из сомнительных источников.
  • Проверяйте цифровые подписи и контрольные суммы установочных файлов, если разработчик их публикует.
  • Используйте аппаратные кошельки с подтверждением транзакций на устройстве и избегайте ввода приватных ключей на скомпрометированных устройствах.
  • Установите и поддерживайте актуальные средства защиты (антивирус, EDR) и следите за необычной активностью RMM‑сервисов.
  • При подозрении на компрометацию — немедленно отключите устройство от сети, смените пароли и проведите полную проверку системы у специалистов.

Вывод

Эта кампания подчёркивает устойчивую проблему: злоумышленники всё чаще используют легитимные инструменты управления в злонамеренных целях, что усложняет обнаружение атак. В секторе криптовалют особенно важно сохранять бдительность — даже хорошо оформленное сообщение и аккуратно выглядящая страница не гарантируют безопасности. Пользователям рекомендуется придерживаться базовых практик цифровой гигиены и скачивать ПО только из проверенных источников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: