Кликнули на файл «Задание_для_бухгалтера.txt»? Поздравляем — троян-шпион уже ворует ваши пароли

Исследователи зафиксировали многоэтапную фишинговую кампанию, нацеленную на пользователей в России. В атаках используются сразу 2 типа вредоносного ПО: вымогательское шифровальщик и троян удаленного доступа Amnesia RAT. Исследование опубликовала лаборатория Fortinet FortiGuard Labs.

Атака начинается с писем, замаскированных под обычную деловую переписку. Жертвам рассылают «рабочие» документы, оформленные так, чтобы они выглядели рутинно и не вызывали подозрений. Внутри находятся скрипты и файлы-приманки, которые отвлекают внимание пользователя фальшивыми заданиями или сообщениями "от начальства", пока вредоносные процессы незаметно запускаются в системе.

Одна из особенностей кампании заключается в архитектуре доставки нагрузки. Для разных этапов используются разные облачные сервисы. Скрипты распространяются через GitHub, а бинарные файлы загружаются с Dropbox. Такое разделение усложняет блокировку инфраструктуры и делает атаку более устойчивой к попыткам отключения серверов и хранилищ.

Еще одна характерная деталь, на которую указывает Fortinet, это использование инструмента defendnot для отключения Microsoft Defender. Defendnot был опубликован в прошлом году исследователем под ником es3n1n и изначально задумывался как демонстрационный проект. Он позволяет обмануть Windows Security Center, заставив систему поверить, что на компьютере уже установлен другой антивирус. В результате Microsoft Defender автоматически отключается, чтобы избежать конфликтов с якобы сторонним защитным ПО.

Распространение вредоносных файлов происходит через ZIP-архивы, внутри которых находятся несколько документов-приманок и вредоносный ярлык Windows (LNK) с русскоязычным именем файла. Используется двойное расширение, например «Задание_для_бухгалтера_02отдела.txt.lnk», из-за чего файл выглядит как обычный текстовый документ.

При открытии ярлыка запускается команда PowerShell, которая загружает следующий скрипт с репозитория GitHub по адресу github[.]com/Mafin111/MafinREP111. Этот скрипт выполняет роль первого загрузчика: закрепляется в системе, подготавливает окружение для сокрытия следов активности и передает управление следующим этапам атаки.

Сначала он программно скрывает окно PowerShell, чтобы пользователь не видел, что что-то выполняется. Затем в каталоге локальных данных приложений создается поддельный текстовый документ, который автоматически открывается на экране. Пока жертва читает приманку, скрипт отправляет уведомление оператору атаки через Telegram Bot API о том, что первый этап успешно отработал. После этого следует пауза в 444 секунды, а затем загружается и запускается Visual Basic Script с именем «SCRRC4ryuk.vbe», размещенный в том же репозитории.

Такой подход делает загрузчик минималистичным и позволяет операторам менять полезную нагрузку без перестройки всей цепочки заражения. Visual Basic Script сильно обфусцирован и работает как управляющий модуль. Он собирает следующий этап прямо в памяти, не записывая файлы на диск. Это снижает шансы обнаружения антивирусами и средствами мониторинга.

Финальный скрипт проверяет, запущен ли он с повышенными привилегиями. Если нет, он начинает циклически выводить окно контроля учетных записей (UAC), вынуждая пользователя выдать права администратора. Между попытками выдерживается пауза в 3 секунды.

Далее запускается серия действий по зачистке системы и подготовке к развертыванию основной нагрузки: – в Microsoft Defender настраиваются исключения для каталогов ProgramData, Program Files, Desktop, Downloads и системной временной папки, чтобы антивирус их не сканировал – через PowerShell отключаются дополнительные компоненты защиты Defender – deploy defendnot, который регистрирует фейковый антивирус в Windows Security Center и заставляет Defender полностью отключиться – проводится разведка окружения, включая скрытую съемку экрана через .NET-модуль с GitHub, который делает скриншоты каждые 30 секунд, сохраняет их в PNG и отправляет через Telegram-бота – через изменения в реестре отключаются административные и диагностические инструменты Windows – реализуется перехват ассоциаций файлов, при котором открытие файлов с определенными расширениями приводит к появлению сообщения с инструкцией о том, как связаться с атакующим через мессенджер.

После отключения защиты и механизмов восстановления в систему загружается основной троян Amnesia RAT (файл «svchost.scr») с Dropbox. Это полноценный инструмент удаленного управления и кражи данных. Он собирает информацию из браузеров, криптокошельков, Discord, Steam и Telegram, извлекает системные данные, делает скриншоты, получает изображения с веб-камеры, записывает звук с микрофона, читает буфер обмена и отслеживает активные окна.

Amnesia RAT позволяет удаленно управлять системой: просматривать и завершать процессы, выполнять команды оболочки, загружать и запускать новые вредоносные файлы. Передача данных в основном идет по HTTPS через Telegram Bot API. Крупные массивы информации могут выгружаться на сторонние файлообменники, например GoFile, а ссылки на скачивание передаются атакующему через Telegram.

Фактически троян обеспечивает кражу учетных данных, перехват сессий, финансовые махинации и постоянный сбор информации, превращая зараженную систему в инструмент для дальнейших атак и компрометации аккаунтов.

Второй полезной нагрузкой становится вымогательский шифровальщик, созданный на базе семейства Hakuna Matata. Он шифрует документы, архивы, изображения, медиафайлы, исходный код и файлы приложений. Перед началом шифрования вредонос завершает процессы, которые могут ему мешать. Дополнительно он отслеживает буфер обмена и подменяет адреса криптокошельков на подконтрольные атакующим, перенаправляя переводы средств. Завершающий этап заражения, развертывание WinLocker, который блокирует работу пользователя с системой.

В Fortinet отмечают, что вся цепочка атаки построена без эксплуатации уязвимостей в ПО. Злоумышленники используют стандартные функции Windows, административные инструменты и механизмы политики безопасности, последовательно отключая защиту и разворачивая слежку и разрушительные модули.

Microsoft в ответ на злоупотребление defendnot рекомендует включать Tamper Protection, чтобы предотвратить несанкционированные изменения настроек Defender, а также отслеживать подозрительные вызовы API Windows Security Center и изменения в службах защиты.

Параллельно исследователи фиксируют и другие фишинговые кампании против российских организаций. Группировка UNG0902 с ноября 2025 года проводит операцию DupeHike, нацеленную на кадровые, бухгалтерские и административные подразделения компаний. В атаках используется имплант DUPERUNNER, который загружает фреймворк управления AdaptixC2. Жертвам рассылают ZIP-архивы с LNK-файлами и приманками на темы премий и внутренних финансовых правил. После запуска вредоносного файла система обращается к внешнему серверу, показывает поддельный PDF-документ, а в фоне выполняет профилирование системы и загрузку управляющего модуля.

В последние месяцы также активна группа Paper Werewolf (она же GOFFEE). В ее кампаниях используются приманки, сгенерированные с помощью ИИ, и DLL-файлы, оформленные как надстройки Excel XLL. Через них распространяется бэкдор EchoGather, который собирает информацию о системе, подключается к серверу управления и поддерживает выполнение команд и передачу файлов по HTTP(S) с использованием WinHTTP API.

В совокупности эти кампании показывают устойчивую тенденцию: фишинг в российском сегменте все чаще строится не на технических уязвимостях, а на социальной инженерии, многоступенчатых цепочках загрузки и злоупотреблении легитимными механизмами операционных систем.