Привет, Хабр!
Фишинг, тема стара как мир, но это по-прежнему один из самых популярных и рабочих инструментов хакеров. Эксперты уже отмечают рост фишинговых атак в 2025 году и то, что они становятся всё более изощрёнными.
Не знаю, как у вас, а у меня в Gmail и Яндекс таких писем почти нет, даже спама немного. А вот старый ящик на Рамблере, который я использую только для госоганов или HeadHunter, оказался куда интереснее.
В итоге список выглядел так:
Данилова София → xumngmyn@berlis.wileana.ru (пришло 08.08.2025)
Екатерина Голованова → osylqspy@winson.darickal.ru (пришло 11.08.2025)
Александра Воробьев → assqygeyv_yjs@eniab.davier.ru (пришло 13.08.2025)
Волкова Ника → bcnykrgz@winoa.cenciss.ru (пришло 17.08.2025)
Вера Кулешова → cadvvzxsowkn@danial.urbailian.ru (пришло 22.08.2025)
Внутри, письма выглядели как реклама от Т-Банка, кнопки «пройти тест» и «узнать подробнее».
Другие письма были такие же.
Любопытство победило, и я прогнал письма через песочницы Triage и Hybrid-Analysis. Результат предсказуем, но тревожный, внутри оказались знакомые имена - RedLine, Vidar, Raccoon Stealer.
Визуально письмо открывалось как страница Google, но на самом деле, вместо настоящего google.com открывался «Google-клон».
Вот наиболее интересные детали из отчетов.
Файл был как обычный HTML-документ, но после запуска сразу начал создавать временные файлы в системной папке C:\Windows\SystemTemp\, активно проверял реестр, вытягивая данные о процессоре и системе, пробовал менять ключи в HKEY_USERS и Classes и даже обращался к COM-API планировщика задач, то есть пытался закрепиться в системе, чтобы запускаться снова при старте Windows.
В довесок были замечены характерные приемы вроде WriteProcessMemory, SetWindowsHookEx и SendNotifyMessage, это уже похоже на поведение стилеров или малвари, которая внедряется в процессы браузера, чтобы перехватывать данные.
? Вот что показала песочница Hybrid Analysis.
Письмо вело на домен urbailian.ru, зарегистрированный всего за пару дней до отправке, и сразу редиректило на ещё более свежий liagomart.site. А само вложение было HTML-документом в 165 КБ, который маскировался под Google и в фоне генерировал сетевую активность. Песочница зафиксировала более 10 обращений к разным хостам, включая urbailian.ru, axela.liagomart.site и настоящие Google-домены (google.com, fonts.gstatic.com), это делается, чтобы жертва меньше заподозрила подвох.
Сработало сопоставление по MITRE ATT&CK:
T1583.001 - регистрация домена под атаку.
T1204.001 - «malicious link», открытие ссылки.
T1071.001 - использование веб-протоколов для C2.
T1553.002 - подписание сертификатами (в том числе Let's Encrypt).
Браузерные процессы (msedge.exe) запускались с изменёнными переменными окружения, создавали кучу подпроцессов и работали как «распаковщик».
Отчеты песочниц по остальным письмам были такие же.
Всё это ещё раз напоминает простую истину, фишинг живее всех живых. Меняются только упаковка и инструменты, а конечная цель остаётся прежней.
А какие письма приходят Вам?
Комментарии (7)
Artur_M
24.08.2025 12:57Здесь всё гораздо проще :)
https://urlscan.io/result/0198d195-f0c6-7749-a1f8-2cb352a4a8b0/
urbailian.ru - первый домен-редиректор
axela.liagomart.site - второй домен редиректор
Увидели google, т.к. не прошли проверку по геозоне. Если бы подключение было из РФ, то дошли бы до третьего домена непосредственно с фишингом под Т-банк. На третьем домене фишинг также прикрыт проверкой геозоны.
Например, один из шаблонов, который бы увидели на последнем домене (эта ветка по Тбанк не для РФ, поэтому проверкой геозоны не прикрыта и загружается на urlscan) - https://urlscan.io/result/0198be7d-0e6c-76bb-ae40-c41e779d89ac/
fransua
Можете рассказать подробнее, как html страница работала с реестром? На видео в html происходит клик по ссылке и переход на google.com, в чем подвох?
InfoSec_razbor Автор
Здравствуйте. В статье я, возможно, не до конца конкретизировал это вывод из песочницы. Не сам HTML напрямую работает с реестром, а процессы браузера (msedge.exe / firefox.exe), которые его открывали. Именно они создавали временные файлы и дергали системные ключи, что и зафиксировал анализ. Подвох был в том, что страница вместо google.com вела на «Google-клон» с только что зарегистрированного домена.
persona
Стало ещё непонятнее. Как хоть google.com, хоть «Google-клон», может заставить процесс браузера создавать временные файлы и дергать системные ключи?
Noizefan
примерно что ясно из статьи:
- письма т банка
- ведущие на гугл клоны
- где стиллеры с закрепами (по определению нерезидентный класс инструментов)
-и хтмл умеющий в редактирование реестра (даже связки эксплоитов в нулевых и десятых были нацелены на execute, а тут сходу реестр - невероятно, и всё видимо ради прогрузки видара)
а может просто потому что злоумышленники не будут разрабатывать свои шрифты для фейков и гугл аналитику? белые инструменты тоже помогают в черном деле. Кстати, посмотрел бы я на такую жертву, которая знает где вкладка "сеть" в инспекторе и там же умудрится не посмотреть основной домен, он же не первый там в списке, правда?
тот единичный случай, когда лучше бы генерировал с чатгпт
johnsqurrel
"что-то" внедрилось в процесс браузера и работает теперь от его имени.
откуда взялось "что-то", как получило управление ? непонятно.
если бы автор включил аудит создания процессов в своем виндовсе
и экспортировал sec.log в реалтайме на более устойчивую систему ...
но он не включил и не экспортировал.
теперь сидим гадаем.
проще завести почту на рамблере и раскидать ее по интернетам.
если фишинг был хоть как-то таргетирован, придется завести на хх резюме
с фейковым опытом и понтами на высокооплачиваемого спеца по ИБ.
BugM
Да ничего там не внедрялось. Такие зиродей уязвимости никто не будет палить на массспаме.
Обычный фишинговый домен и все. Как это не удивительно про такие домены стоит в ркн писать, они их оперативно блочат.