Вредоносное ПО Muck Stealer использовалось вместе с фишингом в новых волнах атак
В новом отчете Cofense говорится, что киберпреступники совмещают фишинг и вредоносное ПО, включая Muck Stealer, Info Stealer, ConnectWise RAT и SimpleHelp RAT, в атаках с двойной угрозой, что затрудняет защиту от них.
По данным исследователей кибербезопасности из компании Cofense, занимающейся анализом киберугроз, злоумышленники начали сочетать фишинг учётных данных с вредоносным ПО. Такой подход, сочетающий в себе две угрозы, значительно усложняет компаниям защиту от одной атаки.
Например, раньше считалось, что электронное письмо — это либо попытка фишинга учётных данных, либо вредоносное ПО. Однако теперь злоумышленники используют новую стратегию. Комбинируя оба метода, они могут добиться успеха, даже если компания вложила значительные средства в один из аспектов защиты, а не в другой.
В отчёте говорится, что злоумышленники используют несколько различных методов для запуска этих комбинированных атак. В одной из кампаний, начатых в декабре 2024 года, злоумышленники сначала использовали вредоносный загрузчик, который устанавливал вредоносное ПО Muck Stealer на компьютер жертвы. Затем вредоносное ПО запускало поддельную страницу входа для сбора дополнительной информации. По словам исследователей, этот HTML-файл также служил «методом маскировки действий Muck Stealer».
В другой кампании, запущенной в январе 2025 года, подход был обратным. Сначала жертв перенаправляли на страницу фишинга, где им предлагалось ввести данные для входа в систему. Как только они вводили свои данные, на их компьютер загружался и устанавливался модифицированный троян для кражи информации. Исследователи отметили, что злоумышленники намеренно «дублировали и очень целенаправленно использовали учётные данные Microsoft Office жертв».
В другой заметной кампании злоумышленники подделывали Американское агентство социального обеспечения. Эти письма с информацией о пособиях содержали встроенную ссылку, при нажатии на которую жертва сначала загружала RAT-средство ConnectWise , а затем перенаправлялась на обширную страницу фишинга учётных данных. Эта страница затем собирала определённые личные данные, которые вредоносная программа не могла получить, включая номер социального страхования жертвы, девичью фамилию матери и PIN-код оператора связи.
В отчёте также подробно описана интересная кампания, начатая в июле 2025 года, в рамках которой вредоносная нагрузка менялась в зависимости от устройства жертвы. Например, ссылка с компьютера под управлением Windows вела на поддельную страницу Microsoft Store , где загружался SimpleHelp RAT (программное обеспечение, позволяющее злоумышленнику управлять компьютером), в то время как та же ссылка на телефоне под управлением Android загружала другое вредоносное ПО, разработанное специально для этой системы.
Общим звеном многих из этих кампаний является внедрение ConnectWise RAT. В отчёте , предоставленном Hackread.com, сделан вывод о том, что использование нескольких методов атаки позволяет злоумышленникам собирать больше информации и обходить средства защиты, предназначенные для обнаружения только одного типа угроз, что знаменует собой заметное изменение в методах работы киберпреступников.
HackRead
