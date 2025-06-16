Обзор

Phishguard зафиксировал всплеск фишинговых кампаний, связанных с Администрацией социального обеспечения (SSA), которые пытаются похитить учетные данные пользователя или установить зараженные трояном инструменты удаленного мониторинга и управления (RMM), такие как ScreenConnect, предоставляющие обширный контроль над компьютером жертвы после установки. Также замечено, что после получения первоначального доступа злоумышленники инструктируют пользователя установить и синхронизировать приложение Microsoft Phone Link, чтобы, возможно, выполнить эксфильтрацию данных, читать текстовые сообщения и перехватывать коды двухфакторной проверки подлинности, отправляемые на подключенное мобильное устройство.

Мы полагаем, что злоумышленники пользуются недавними громкими сбоями в работе SSA, чтобы вызвать страх, неуверенность и сомнения у потенциальных жертв относительно состояния их учетных записей в агентстве. Это также соответствует модели, наблюдаемой Phishguard в отношении атак, использующих другие актуальные политические моменты, включая резкий рост числа мошенничеств, связанных с криптовалютой после запуска $TRUMP в середине января 2025 года.

Пример цепочки атак фишинга SSA

Тактики социальной инженерии

Чтобы обойти фильтры безопасности, мошеннические атаки SSA используют скомпрометированные серверы и веб-сайты для о�тправки своих электронных писем, например, от надежных брендов. В простых случаях мошенники используют бесплатные почтовые сервисы (например, Gmail или Outlook) и просто устанавливают отображаемое имя отправителя как «Администрация социального обеспечения», надеясь, что получатель не проверит полный адрес электронной почты. Злоумышленники также обходят фильтры безопасности с помощью сложных методов, таких как встраивание контента Фишинг в images и использование одноразовых ссылок для скачивания.

Многие фишинговые сообщения пытаются вызвать тревогу у получателей, утверждая, что что-то не так с их статусом в системе социального обеспечения, и требуют немедленных действий. Сообщения часто содержат официальные логотипы SSA, форматирование и отказы от ответственности, чтобы казаться как можно более аутентичными.

В рамках недавней фишинговой кампании были отправлены электронные письма с внушающими тревогу темами, такими как «Ваш SSN будет приостановлен (ИД дела - SSA-526487442)�» или «Обнаружена подозрительная активность в вашей учетной записи SSN». В некоторых электронных письмах утверждалось, что в учетную запись SSA получателя были внесены «важные изменения», и в письмах содержался призыв нажать на ссылку для «входа в систему»:

Пример фишингового письма с темой SSA, подчеркивающего «важные изменения»

Другое электронное письмо предупреждает жертвы о «потенциальной ошибке» в их последнем отчете и предлагает им «получить доступ к обновленной выписке», нажав на «кнопку», которая, как правило, ведет на “www.socialsecurity.gov/reviewyourstatement”, но при этом фактически перенаправляет пользователей на “hxxps://ssa-storeattsment[.]com” — мошеннический сайт, созданный для кражи учетных данных:

В недавних мошеннических схемах с SSA злоумышленники заявляют, что документ SSA получателя «оптимизирован для просмотра на ПК/ноутбуках с Windows»», побуждая пользователя открыть его на устройстве с Windows — единственной операционной системе, где 'ScreenConnect.exe' с трояном запустит:

Фишинговое письмо с пометкой «Документ оптимизирован для просмотра на ПК/ноутбуках с Windows».

Векторы и техники атак

PhishGuard недавно зафиксировал рост числа заблокированных фишинговых писем, содержащих ссылки, которые используют легитимные сайты WordPress для перенаправления. Хотя электронное письмо может не исходить от скомпрометированного сервера WordPress, злоумышленник встраивает ссылки на сайты WordPress, которые он контролирует и�ли скомпрометировал, и эти сайты затем перенаправляют жертв на вредоносные домены, такие как дешевые сайты-однодневки `.xyz`, на которых размещаются сборщики учетных данных или вредоносный трафик.

Такие фишинговые сайты иногда включают примечание о том, что «документ» может быть доступен только с устройства Windows — тактика, предназначенная для того, чтобы побудить жертву открыть файл .exe на платформе, где он будет успешно выполнен. Например:

Электронное письмо также может исходить из легитимной, но скомпрометированной инфраструктуры (например, домена небольшой компании), что делает адрес отправителя менее подозрительным. Такие легитимные домены могут не быть занесены в черный список спам-фильтрами, что позволяет фишинговым атакам проникать через них. В некоторых случаях злоумышленники также регистрируют домены, похожие на настоящие, или создают поддомены, содержащие такие термины, как “ssa” или "social-security", чтобы еще больше замаскировать мошенничество. Использование легитимных, но неавторизованных серверов позволяет электронным письмам обходить базовые проверки аутентификации электронной почты; сообщения проходят проверку SPF и DKIM, поскольку домен отправителя существует, но просто не принадлежит или не управляется SSA.

Отличительной чертой наблюдаемой фишинговой кампании SSA является использование троянской версии ScreenConnect — легитимного инструмента удаленной ИТ-поддержки, который обычно используется компаниями. Вариант, обнаруженный Phishguard, доставляется через вредоносную ссылку в фишинговом сообщении. При нажатии на ссылку загружается клиент ScreenConnect, размещенный на Bitbucket, по адресу hxxps://bitbucket[.]org/iojuhygfrtdtyguygudu/qsxd/downloads/SocialSecurityAdminUpd05212025.exe. Содержащий троян клиент связывается с pulseriseglobal[.]com, вероятно для вредоносной последующей активности (например, управление или контроль либо загрузка дополнительных вредоносных программ, таких как похитители информации или программы-шантажисты).

С установленным на системе жертвы клиентом, содержащим троян, злоумышленник фактически получает такой же уровень контроля, как и ИТ-администратор, что позволяет ему:

Получить полный удаленный контроль: просматривать и взаимодействовать с экраном жертвы, а также управлять мышью и клавиатурой так, как если бы злоумышленник физически находились у машины.

Выполнять команды и скрипты: запускать команды в фоновом режиме с помощью таких инструментов, как промпты команд и PowerShell, чтобы перенастроить систему, отключить программное обеспечение безопасности или провести разведку сети.

Управлять файлами: свободно передавать файлы на компьютер жертвы и с него. Это позволяет им осуществлять эксфильтрацию конфиденциальных данных или загружать дополнительные вредоносные инструменты, такие как программы-шантажисты или шпионские программы.

Получить доступ к компонентам системного уровня: взаимодействовать с критически важными системными утилитами, включая Диспетчер задач для завершения процессов, Редактор реестра для внесения постоянных изменений и Проводник для навигации по всей файловой системе.

Электронное письмо было помечено при доставке и отозвано, что предотвратило попадание трояна на конечные точки

В некоторых случаях вредоносные ссылки в фишинговых сообщениях перенаправляют пользователей на сайт, который инструктирует их запустить вредоносный исполняемый файл ScreenConnect, а затем войти в приложение Microsoft Phone Link, используя учетные данные своей учетной записи Microsoft.

Как показано на изображениях ниже, атака начинается, когда пользователя заманивают на фишинговую страницу hxxps://redplay[.]store/statement/ssa. В этой версии атаки пользователю предлагается следовать инструкциям на фишинговой целевой странице, чтобы загрузить то, что он считает своей выпиской о социальном обеспечении, но на самом деле это вредоносный исполняемый файл ‘ssa.statement.exe’, замаскированный под пакет macOS (`ssa.statement.pkg`). После загрузки жертва должна дважды щелкнуть на исполняемом файле, чтобы запустить троянскую версию ScreenConnect, которая предоставляет злоумышленнику контроль над их системой. Первые два шага на фишинговой странице требуют от пользователя загрузить и запустить вредоносный клиент ScreenConnect, так как злоумышленнику нужен доступ на уровне системы, прежде чем продолжить.

Теперь, когда система скомпрометирована, в оставшихся шагах жертва инструктируется получить доступ и предоставить разрешения для легитимного приложения Microsoft Phone Link. Phone Link, приложение для синхронизации, разработанное Microsoft для подключения ПК с Windows к мобильным устройствам на Android и iOS, используется злоумышленниками в этом контексте для создания канала связи без необходимости физического доступа к мобильному устройству или его пароля.

Поскольку злоумышленник уже контролирует ПК через троянскую версию ScreenConnect, он может отслеживать и манипулировать процессом сопряжения устройств. Они, по сути, «смотрят через плечо» пользователя, обеспечивая одобрение и установление соединения между ПК и смартфоном пользователя.

После подключения Phone Link злоумышленник получает косвенный доступ к мобильному устройству жертвы через синхронизированное соединение на скомпрометированном компьютере. Это позволяет им:

Читать СМС-сообщения, возможно, с захватом кодов двухфакторной проверки подлинности

Просматривать уведомления из различных приложений

Получать доступ к фотографиям, контактам, истории вызовов и содержимому буфера обмена

Совершать звонки

Отражать экран телефона, чтобы взаимодействовать с мобильными приложениями напрямую через скомпрометированный ПК.

Воздействие

Личное воздействие:

Прямые финансовые потери: в 2024 году электронная почта использовалась в 25 % сообщений о мошенничестве. Из них 11 % привели к финансовым потерям, составившим совокупный ущерб в 502 млн долларов США и средний убыток в 600 долларов США на инцидент.

Компрометация личных учетных записей, ведущая к краже персональных данных: фишинговые кампании являются основным методом, с помощью которого злоумышленники получаю�т личную информацию, что способствовало 1,1 миллиона сообщений о краже личных данных в 2024 году, при этом мошенничество с кредитными картами и мошенничество с государственными льготами являлись основными категориями.

Значительная временная нагрузка для потерпевших: жертвы кражи личных данных, часто инициируемой с помощью фишинга, сталкиваются с существенными временными затратами: в 2024 финансовом году дела, связанные с налогами, в среднем решаются более чем за 22 месяца (676 дней).

Организационное воздействие

Фишинг как ведущий метод нарушения безопасности: исследование Comcast показывает, что 67 % всех утечек начинается с того, что кто-то нажимает на, казалось бы, безопасную ссыл�ку.

Хищение учетных данных с помощью фишинга: По данным Picus Security, в 2024 году количество инцидентов с кражей учетных данных увеличилось на 300 % по сравнению с предыдущими годами.

Распространенность инструментов удаленного доступа (RMM (Remote Access Tools)), используемых в атаках программ-шантажистов: ThreatDown сообщила о возросшем использовании легитимных инструментов удаленного мониторинга и управления (RMM) группировками, занимающимися программами-шантажистами, в своих атаках.

Нейтрализация и обнаружение

Защита от фишинга с темой SSA требует как индивидуальных, так и организационных мер, таких как:

Кибергигиена: избегайте перехода по ссылкам, если вы не убедились, что они не являются вредоносными; поддерживайте все программное обеспечение в актуальном состоянии; отключайте макросы Office.

Перехват фишинговых писем: используйте расширенные фильтры безопасности электронной почты, чтобы остановить мошенничество до того, как оно достигнет почтовых ящиков. Cloudflare Email Security может обнаруживать поддельные электронные письма SSA в режиме реального времени, используя отпечатки обнаружения электронной почты (EDF) и специализированные средства обнаружения, такие как приведенные ниже: SocialSecurityAdministration.Link.Text.URL_Shorteners — обнаруживает сообщения с брендом SSA, которые скрывают вредоносные URL-адреса за средствами сокращения ссылок. SocialSecurityAdministration.Recent_Domain — учитывается возраст домена; недавно зарегистрированные двойники SSA являются тревожным сигналом.

Анализируйте подозрительное поведение: используйте такие инструменты, как Microsoft Defender XDR или CrowdStrike Falcon для обнаружения неожиданного использования инструментов RMM, таких как ScreenConnect.

Регулярно создавайте резервные копии критически важных данных: Успешные фишинговые атаки могут привести к установке дополнительных вредоносных программ, таких как программы-шантажисты или программы для бесследного стирания следов работы с приложениями и доступа к файлам (вайперы), поэтому резервное копирование имеет решающее значение. Регулярно создавайте резервные копии критически важных данных, храня копии в автономном режиме.

Команды Cloudflare PhishGuard и обнаружения электронной почты развернули серию средств обнаружения для блокировки вредоносных писем, связанных с SSA. Эти обнаружения оценивают репутацию домена, а также возможности выявления подозрительных настроений и брендинга, связанных с государственными учреждениями, в сообщениях. Мы объединяем эти высоконадежные обнаружения в нашей производственной среде с проактивными методами поиска угроз для выявления новых угроз, связанных с электронной почтой. Кроме того, такие обнаружения используют наши модели машинного обучения, которые анализируют содержимое электронной почты, тональность и метаданные для выявления и пометки вредоносных сообщений.

Индикаторы компрометации

Исполняемые файлы

Отпечатки для обнаружения электронной почты (EDF)