Американские юристы внезапно начали раздавать вирусы. Всё дело в хакерах и их любви к WordPress

Специалисты подразделения Insikt Group* опубликовали первый подробный отчёт о группировке GrayCharlie, которая с середины 2023 года заражает сайты на WordPress и распространяет вредоносное ПО через поддельные обновления браузера и схему ClickFix. По данным авторов исследования, злоумышленники недавно взломали ряд сайтов юридических фирм в США, что может указывать на атаку через цепочку поставок.

GrayCharlie, связанная с активностью SmartApeSG, внедряет на скомпрометированные ресурсы ссылки на внешний JavaScript. Скрипт перенаправляет посетителей на страницы с фальшивыми обновлениями Chrome, Edge или Firefox либо показывает поддельную CAPTCHA. После запуска загруженного файла на устройство жертвы устанавливается NetSupport RAT, а в отдельных случаях также Stealc и SectopRAT. Основная цель атак — кража данных и получение финансовой выгоды. Не исключается и перепродажа доступа другим преступным группам.

Аналитики выявили обширную инфраструктуру, связанную с GrayCharlie. Командные серверы NetSupport RAT в основном размещались у хостинг-провайдеров MivoCloud и HZ Hosting Ltd. Часть серверов объединена в кластеры по характерным признакам TLS-сертификатов, серийным номерам и лицензионным ключам. В ряде случаев сертификаты создавались почти одновременно, что указывает на централизованное администрирование. Исследование также показало использование прокси-сервисов и SSH для управления инфраструктурой.

Отдельное внимание в отчёте уделено группе сайтов американских юридических компаний. Как минимум пятнадцать ресурсов загружали вредоносный скрипт с домена persistancejs.store. Многие из этих сайтов связаны с компанией SMB Team, которая предоставляет ИТ и маркетинговые услуги юридическим фирмам.

Временное совпадение между появлением вредоносного домена и утечкой учётных данных, связанных с инфраструктурой SMB Team, позволило авторам отчёта предположить компрометацию подрядчика — возможную атаку через цепочку поставок. Альтернативная версия — эксплуатация уязвимой версии WordPress или плагинов, которые использовали клиенты компании.

В 2025 году GrayCharlie начала активнее применять технику ClickFix. Посетителю заражённого сайта предлагают пройти проверку CAPTCHA, после чего в буфер обмена копируется команда. Пользователь вставляет её в окно «Выполнить», что запускает загрузку архива с NetSupport RAT. В другом сценарии жертве предлагают установить якобы обновление браузера. В обоих случаях вредонос закрепляется в системе через ключ автозапуска в реестре Windows и подключается к управляющему серверу.

В ходе тестирования одной из вредоносных сборок специалисты зафиксировали действия оператора через несколько часов после заражения. Злоумышленник архивировал файлы и выполнял команды для получения информации о доменных группах и учётных записях. Это подтверждает интерес к разведке внутри корпоративной сети.

По оценке Insikt Group, группировка сохраняет устойчивую активность и регулярно разворачивает новую инфраструктуру. С учётом нацеленности на американские организации риск дальнейших атак остаётся высоким.

* Относится к Recorded Future, признанной нежелательной организацией в России.