Дослідники кібербезпеки SentinelOne оприлюднили деталі скоординованої фішингової атаки під назвою PhantomCaptcha. Вона була націлена на організації, які надають допомогу Україні, а також держадміністрації чотирьох областей, з метою впровадження троянської програми віддаленого доступу.
Дослідники кібербезпеки SentinelOne оприлюднили деталі скоординованої фішингової атаки під назвою PhantomCaptcha. Вона була націлена на організації, які надають допомогу Україні, а також держадміністрації чотирьох областей, з метою впровадження троянської програми віддаленого доступу.
За даними нового звіту SentinelOne, 8 жовтня 2025 року цілями атаки стали окремі члени Міжнародного Червоного Хреста, Норвезької ради у справах біженців, Українського офісу ЮНІСЕФ, Реєстру збитків Ради Європи, а також обласні адміністрації України в Донецькій, Дніпропетровській, Полтавській та Миколаївській областях, повідомляє The Hacker News.
Жертвам надсилалися фішингові електронні листи, які імітували Офіс Президента України. Лист містив PDF-документ з вбудованим посиланням. Перехід за посиланням спрямовував жертву на фейковий сайт Zoom («zoomconference[.]app»).
На цьому етапі спрацьовувала підроблена сторінка Cloudflare CAPTCHA у стилі ClickFix. Під виглядом перевірки браузера вона обманом змушувала жертву виконати шкідливу команду PowerShell, вставивши її у діалогове вікно Windows Run.
Фейкова сторінка Cloudflare також створювала з'єднання WebSocket із сервером зловмисників. Хоча дослідники не спостерігали активації цієї лінії атаки, підозрюють, що вона призначена для живих сеансів соціальної інженерії.
Команда PowerShell призводить до запуску зашифрованого завантажувача, основна функція якого — отримати та виконати корисне навантаження другого етапу з віддаленого сервера. Це шкідливе ПЗ другого етапу проводить розвідку скомпрометованого хоста та відправляє дані на той самий сервер, який у відповідь надсилає троян віддаленого доступу PowerShell.
«Фінальне корисне навантаження — це троян віддаленого доступу на основі WebSocket, розміщений на російській інфраструктурі, який дозволяє довільне виконання віддалених команд, викрадення даних та потенційне розгортання додаткового шкідливого програмного забезпечення», — заявив дослідник безпеки Том Гегель. «Цей RAT на базі WebSocket є бекдором для віддаленого виконання команд, по суті, віддаленою оболонкою, яка надає оператору довільний доступ до хоста (комп’ютера).»
Детальніший аналіз завантажень на VirusTotal показав, що цей 8-сторінковий шкідливий PDF-файл був завантажений із різних країн — України, Індії, Італії та Словаччини, — що, імовірно, вказує на широке географічне охоплення цілей.
У SentinelOne зазначили, що підготовка до кампанії розпочалася 27 березня 2025 року, що може свідчити про складне планування.
Кампанія не була офіційно приписана до жодного відомого зловмисника чи групи, хоча використання методу ClickFix збігається з нещодавно викритими атаками хакерської групи COLDRIVER, пов’язаної з росією.
«Кампанія PhantomCaptcha відображає висококваліфікованого супротивника, який демонструє широке оперативне планування, розподілену інфраструктуру та навмисний контроль видимості», — заявили у SentinelOne. «Шестимісячний період між початковою реєстрацією інфраструктури та виконанням атаки, за яким послідувало швидке зняття орієнтованих на користувача доменів зі збереженням бекенду 'командування-контролю', підкреслює, що оператор добре обізнаний як із наступальними техніками, так і з методами уникнення захисного виявлення.»
