Хакеры используют счета-фактуры в формате PDF для атак на системы Windows, Linux и macOS

Недавнее расследование, проведенное группой реагирования на инциденты FortiMail, выявило крайне сложную кампанию по электронной почте, нацеленную на организации в Испании, Италии и Португалии.

Эта атака распространяет мощный троян удаленного доступа (RAT), известный как RATty, который в первую очередь поражает системы Windows, но также представляет угрозу для сред Linux и macOS, где установлена среда выполнения Java (JRE).

В кампании задействован легитимный испанский поставщик услуг электронной почты serviciodecorreo.es, который уполномочен отправлять электронные письма от имени различных доменов, проходя проверки SPF (Sender Policy Framework) и обходя фильтры безопасности электронной почты с пугающей легкостью.

Эта обманчивая легитимность в сочетании с передовыми методами уклонения позволяет злоумышленникам доставлять вредоносные данные , которые предоставляют им полный контроль над зараженными системами, включая возможность выполнять команды, регистрировать нажатия клавиш, получать доступ к файлам и даже активировать веб-камеры или микрофоны.

Многоуровневая тактика уклонения и цепочка заражения

Цепочка заражения начинается с, казалось бы, безобидного электронного письма, содержащего вложение в формате PDF, замаскированное под счет-фактуру, часто содержащее срочные призывы, чтобы побудить получателей к поспешным действиям с помощью социальной инженерии .

После открытия PDF-файла пользователям предлагается загрузить HTML-файл с именем «Fattura» (по-итальянски «Счет») по ссылке Dropbox.

Этот файл включает в себя базовую проверку «Я не робот» перед перенаправлением на динамически сгенерированный URL-адрес через Ngrok — инструмент туннелирования, используемый для маскировки источника атаки.

Геолокационная маскировка Ngrok еще больше усложняет обнаружение, предоставляя безвредный контент (например, документ Google Диска) пользователям за пределами целевых регионов, таких как Италия, и одновременно доставляя вредоносный JAR-файл (FA-43-03-2025.jar) жертвам в указанной геолокации.

Этот JAR-файл, размещенный на легитимных платформах, таких как MediaFire, содержит вредоносное ПО RATty — RAT на основе Java, способное к кроссплатформенной эксплуатации благодаря повсеместному распространению Java.

Согласно отчету , использование в ходе кампании надежных файлообменных сервисов и методов геозонирования значительно снижает риски раннего обнаружения, поскольку системы безопасности и «песочницы» часто выполняют анализ из нецелевых местоположений, пропуская вредоносную нагрузку.

Эта многоуровневая стратегия в сочетании со злоупотреблением законными инфраструктурами подчеркивает растущую изощренность методологий распространения вредоносного ПО, делая традиционные меры безопасности менее эффективными против таких целевых атак.

Защитные решения Fortinet, включая FortiMail, сервисы FortiGuard и FortiSandbox, обеспечивают надежную защиту, обнаруживая и блокируя эти угрозы с помощью антивирусных сигнатур, обезвреживания контента и возможностей борьбы с фишингом в реальном времени.

Кроме того, Fortinet подчеркивает важность обучения пользователей посредством тренингов по повышению осведомленности в области безопасности (SAT) и моделирования фишинговых атак для минимизации человеческого фактора — критической точки входа для таких атак.