TA585: фишинг Налогового управления США, MonsterV2 и ClickFix

В феврале 2025 года исследователи Proofpoint зафиксировали кампанию киберпреступной группы TA585, в которой злоумышленники применяли сложные методы фишинга для развертывания троянца удаленного доступа MonsterV2 (RAT). Атаки были ориентированы преимущественно на малые и средние компании финансового и бухгалтерского секторов и использовали доверие к сообщениям от государственных органов, в частности к сообщениям от IRS.

Суть обнаруженной кампании

Сценарий атаки включал рассылку фишинг-писем, замаскированных под уведомления от IRS. Письма содержали ссылку на вредоносный PDF-файл. Открыв PDF, жертва перенаправлялась на мошенническую страницу аутентификации, реализованную с помощью технологии ClickFix. По данным Proofpoint, такая цепочка значительно повышала вероятность успешного фишинга за счёт комбинации легитимного контента и искусственного давления времени.

«Proofpoint идентифицировала TA585 как использующую сложные методы фишинга для развертывания MonsterV2 (RAT) с применением технологий типа ClickFix».

Механика атак — что важно знать

• Фишинг-письма: тематически ориентированы на IRS, используют доверие к правительственным уведомлениям и создают ощущение срочности.
• Вредоносные PDF: содержат ссылки, которые перенаправляют на поддельные страницы входа.
• ClickFix: технология, облегчающая переход жертвы к фишинговым порталам аутентификации, повышая вероятность ввода учетных данных.
• Троянец MonsterV2 (RAT): после запуска предоставляет злоумышленникам удалённый доступ к системе жертвы, что открывает путь к дальнейшей эксплуатации.

Цели и влияние

По наблюдениям, основные цели кампаний TA585 — малые и средние предприятия в финансовом и бухгалтерском секторах. Использование IRS-тематики служит эффективной приманкой: сообщения от государственных органов вызывают меньше подозрений и чаще побуждают к немедленным действиям.

Последствия компрометации системой с MonsterV2 включают:

• кражу конфиденциальных данных;
• развертывание дополнительных полезных нагрузок;
• закрепление злоумышленников на инфраструктуре жертвы и дальнейшую эксплуатацию.

Почему ClickFix опасен в контексте фишинга

Технология ClickFix упрощает процесс перенаправления и взаимодействия с фишинговыми порталами, делая страницы аутентификации более правдоподобными и снижая барьер для жертвы. В сочетании с официально выглядящими PDF и сообщениями от IRS это повышает успех атак и делает их более масштабируемыми.

Рекомендации по защите

• Обучение персонала: повышайте осознанность о фишинге, особенно при получении писем с темой IRS или других государственных органов.
• Проверка ссылок и файлов: не открывать подозрительные PDF и не переходить по неизвестным ссылкам; проверять домены целевых страниц.
• Многофакторная аутентификация (MFA): внедрять MFA для защиты учетных записей, даже если учетные данные скомпрометированы.
• Антивредоносные решения и EDR: использовать актуальные средства защиты, способные обнаруживать ранние стадии развертывания RAT и пост-фактумную активность злоумышленников.
• Резервное копирование и сегментация сети: минимизировать последствия возможной компрометации.

Заключение

Кампания TA585 демонстрирует, как сочетание социально-инженерных методов и специализированных инструментов (ClickFix, фальшивые PDF) позволяет эффективно распространять мощные RAT‑семейства, такие как MonsterV2. Малые и средние предприятия в финансовой сфере должны рассматривать такие атаки как реальную угрозу и предпринимать проактивные меры защиты и обучения персонала.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.