Кампания фишинга и RAT-атак на пользователей банков Бразилии

Эксперты Positive Technologies выявили масштабную киберкампанию, нацеленную на пользователей из Бразилии
В начале 2025 года экспертный центр безопасности Positive Technologies провёл расследование, в ходе которого была выявлена масштабная кампания кибератак, преимущественно нацеленных на пользователей в Бразилии. Основной вектор атаки — фишинговые письма, маскирующиеся под счета-фактуры, побуждающие жертв скачивать вредоносные файлы с подозрительных ресурсов.
Основные методы и инструменты атаки
Перинципиальным элементом злоумышленников стал вредоносный софт, распространяемый несколькими способами. Первоначально атака осуществлялась с помощью расширения для браузера Google Chrome. Однако в одном из вариантов атаки вместо расширения использовались программы Mesh Agent или PDQ Connect Agent.
- На компьютерах жертв запускался BAT-скрипт, который загружал и исполнял PowerShell-скрипт.
- PowerShell-скрипт отключал контрол пользователя (UAC) и устанавливал соединение с сервером управления (C2) по IP-адресу 142.54.185.178.
- Вредоносное расширение установлено не только в Google Chrome, но и в Microsoft Edge и Brave через MSI-файл.
- Процесс установки включал выполнение запутанного JavaScript-кода, который взаимодействовал с сервером C2 по адресу enota.clientepj.com.
Характеристики вредоносного расширения
Вредоносное расширение для Chrome состояло из множества JavaScript-файлов и манифеста, специально разработанного для взаимодействия со страницами, связанными с Banco do Brasil. В расширении внедрены функции для сбора конфиденциальных данных пользователей, в том числе аутентификационных информации банковского характера.
Особое внимание привлекает использование в коде немецкого и португальского языков — это может указывать на региональную направленность или наличие международного влияния на злоумышленников. Кроме того, расширение включает ссылки на сервер финансового управления, предоставляя злоумышленникам дополнительные возможности для удалённого контроля.
Mesh Agent и MeshCentral: расширение контроля над устройствами
Наряду с расширением была выявлена вредоносная программа Mesh Agent, известная своей способностью обеспечивать удалённый доступ к устройствам и подключение к серверам MeshCentral для полноценного управления заражёнными устройствами.
Использование Mesh Agent говорит о комплексном подходе злоумышленников, сочетающем фишинговые атаки и инструменты удалённого администрирования для проникновения как на уровне отдельных пользователей, так и в корпоративную инфраструктуру.
Распространение и масштабы кампании
Фишинговая кампания распространялась с помощью мошеннических email-рассылок, в том числе используя доступ к уже скомпрометированным организациям. В результате было затронуто порядка 70 уникальных организаций.
Анализ показал двойственную угрозу этой кампании:
- Использование программ-вымогателей, нацеленных на личные аккаунты жертв;
- Использование RAT (Remote Access Trojan), которые позволяют злоумышленникам проникать в инфраструктуру организаций и контролировать её удалённо.
Выводы и значение для кибербезопасности
Данная кампания демонстрирует эволюцию кибертактик, включая использование уникальных методологий, характерных для латиноамериканского региона. Основная цель злоумышленников — незаконное получение конфиденциальной банковской информации частных лиц.
Постоянный мониторинг подобных атак и своевременное внедрение защитных мер остаются ключевыми факторами в борьбе с современной киберпреступностью.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



