Нажми «Я не робот» и потеряй все данные: как PhantomCaptcha превратила Cloudflare в троянского коня

leer en español

SentinelLabs PhantomCaptcha PowerShell WebSocket фишинг вредоносный код
Нажми «Я не робот» и потеряй все данные: как PhantomCaptcha превратила Cloudflare в троянского коня
SentinelLabs PhantomCaptcha PowerShell WebSocket фишинг вредоносный код

Атака продолжалась всего день, но её последствия обнаруживают до сих пор.

image

Атака PhantomCaptcha стала одной из самых сложных фишинговых операций последних месяцев, направленных против гуманитарных и административных структур. По данным SentinelLabs, злоумышленники создали тщательно продуманную схему, замаскированную под официальную рассылку государственного учреждения, чтобы заразить системы сотрудников крупных международных организаций. Целью кампании было получение удалённого доступа к устройствам и сбор конфиденциальных данных.

Письма содержали PDF-документ, внешне напоминающий официальное уведомление. Внутри файла находилась ссылка на поддельный сайт, стилизованный под страницу Cloudflare, которая просила пройти проверку reCaptcha. При нажатии на кнопку «Я не робот» появлялось окно с инструкцией, предлагающее скопировать «токен» и вставить команду в системное окно «Выполнить». Эта команда активировала PowerShell-скрипт, который загружал вредоносный код с подставного домена zoomconference.app, принадлежавшего зарубежному хостинг-провайдеру. Пользователи сами запускали вредоносный сценарий, обходя защитные механизмы, отслеживающие запуск подозрительных файлов.

Основная нагрузка представляла собой трёхступенчатую цепочку PowerShell-скриптов. Первая часть выполняла роль загрузчика, скачивая второй компонент с ресурса «bsnowcommunications[.]com». Следующий этап собирал системные данные — имя компьютера, пользователя, домен и аппаратный идентификатор — после чего отправлял их в зашифрованном виде на тот же сервер. Последний элемент цепочки был удалённым средством администрирования, взаимодействующим с командным сервером через WebSocket-протокол. Он позволял выполнять произвольные команды, загружать дополнительные вредоносные программы и управлять заражённой машиной в режиме реального времени.

Инфраструктура PhantomCaptcha просуществовала всего один день, что говорит о высокой оперативной скрытности. После завершения операции часть серверов была выключена, однако backend-компоненты продолжили функционировать, обслуживая уже скомпрометированные устройства. По данным аналитиков, техника атаки перекликается с активностью одной из известных хакерских группировок, хотя окончательная атрибуция пока не подтверждена.

При анализе серверов специалисты нашли следы другой кампании, ориентированной на мобильные устройства. С тех же IP-адресов распространялись фальшивые Android-приложения, например, под видом развлекательных сервисов. Эти программы запрашивали доступ к геолокации, контактам, фотографиям и журналам звонков, отправляя данные на управляющие серверы. Хотя связь с PhantomCaptcha пока не доказана, совпадение инфраструктуры и методов заставляет рассматривать эти случаи как звенья одной более широкой операции.

Атака показала, насколько опасными становятся социальные схемы, в которых вредоносный код запускает сам пользователь, не подозревая о подмене. Для защиты важно обращать внимание на любые сообщения, предлагающие вводить команды вручную, а также отслеживать попытки подключения к недавно зарегистрированным доменам, имитирующим известные сервисы. PhantomCaptcha демонстрирует, что даже короткая по времени операция может оказаться крайне разрушительной, если за ней стоят хорошо подготовленные специалисты, способные сочетать техническую изощрённость и продуманную психологическую манипуляцию.