Дослідники Fortinet FortiGuard Labs зафіксували нову багатоступеневу фішинг-кампанію проти користувачів у Росії, яка поєднує Amnesia RAT, ransomware та набір технік для прихованого запуску й ослаблення захисту Windows. Ключова особливість — використання публічних хмарних сервісів для доставки різних компонентів і зловживання defendnot, щоб змусити Microsoft Defender “відключитися”.
Атака стартує з соціальної інженерії: жертві надсилають архіви з “діловими” приманками (документи, інструкції, “завдання”), а всередині — ярлик LNK із подвійним розширенням, який маскується під текстовий файл. Після запуску LNK виконує PowerShell-команду та тягне наступний скрипт зі GitHub, який працює як перший лоадер: ховає виконання, створює/відкриває decoy-документ, а паралельно непомітно готує систему до наступних етапів.
Далі ланцюжок запускає обфускований VBE/скрипт-контролер, який збирає наступний payload в пам’яті, щоб мінімізувати артефакти на диску. Після цього відбуваються дії з “зачистки” та підготовки середовища: налаштування виключень Defender, вимкнення окремих захисних компонентів, запуск defendnot для реєстрації фейкового антивірусу у Windows Security Center і фактичного відключення Defender, а також розвідка/спостереження (в тому числі через регулярні скріншоти з ексфільтрацією через Telegram Bot API).
Фінальні корисні навантаження включають:
- Amnesia RAT (завантажується з Dropbox) для крадіжки даних і повного віддаленого контролю (браузери, криптогаманці, Discord/Steam/Telegram, метадані системи, скріншоти, звук/камера, буфер обміну тощо).
- Ransomware на базі сімейства Hakuna Matata, який шифрує широкий набір файлів, завершує процеси, що можуть завадити, і додатково може підмінювати криптогаманці в буфері обміну.
- WinLocker для блокування взаємодії користувача з системою.
Fortinet окремо підкреслює “розділення ролей” хмарних сервісів у кампанії: GitHub використовується для скриптів/етапів, а Dropbox — для бінарних payload. Такий підхід ускладнює блокування та підвищує живучість інфраструктури. Також згадується контекст інших кампаній проти російських організацій із використанням LNK/архівів і різних імплантів, де приманки часто стилізують під внутрішні документи HR/бухгалтерії.
Ця кампанія показує, що повна компрометація можлива без експлойтів уразливостей — через продуману соціальну інженерію та системне зловживання легітимними можливостями Windows. Захист тут упирається у дисципліну: контроль виконання скриптів/ярликів, моніторинг змін Defender та увімкнений Tamper Protection.
