Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch lừa đảo spear-phishing có tên là PhantomCaptcha, nhắm mục tiêu vào các tổ chức liên quan đến nỗ lực cứu trợ chiến tranh của Ukraine để phát tán một trojan truy cập từ xa (RAT) sử dụng WebSocket cho lệnh và kiểm soát (C2).
Hoạt động này, diễn ra vào ngày 8 tháng 10 năm 2025, đã nhắm vào các thành viên cá nhân của Hội Chữ thập đỏ Quốc tế, Hội đồng Người tị nạn Na Uy, Văn phòng UNICEF Ukraine, Hội đồng Người tị nạn Na Uy, Cơ quan Đăng ký Thiệt hại của Hội đồng Châu Âu cho Ukraine và các cơ quan hành chính chính quyền khu vực Ukraine tại các vùng Donetsk, Dnipropetrovsk, Poltava và Mykolaiv, theo một báo cáo mới được công bố hôm nay bởi SentinelOne cho biết.
Các email phishing được phát hiện giả mạo Văn phòng Tổng thống Ukraine, chứa một tài liệu PDF cài mã độc có chứa một liên kết nhúng. Khi nhấp vào, liên kết này sẽ chuyển hướng nạn nhân đến một trang Zoom giả mạo ("zoomconference[.]app") và lừa họ chạy một lệnh PowerShell độc hại thông qua một trang CAPTCHA Cloudflare giả mạo theo kiểu ClickFix, dưới vỏ bọc kiểm tra trình duyệt.
Trang Cloudflare giả mạo hoạt động như một bên trung gian bằng cách thiết lập kết nối WebSocket với một máy chủ do kẻ tấn công kiểm soát và truyền một JavaScript-generated clientId. Trình duyệt sẽ đưa nạn nhân đến một cuộc họp Zoom hợp pháp, được bảo vệ bằng mật khẩu nếu máy chủ WebSocket phản hồi bằng một mã định danh phù hợp.
Người ta nghi ngờ rằng đường lây nhiễm này có thể dành cho các cuộc gọi social engineering trực tiếp với nạn nhân, mặc dù SentinelOne cho biết họ không quan sát thấy các tác nhân đe dọa kích hoạt hình thức tấn công này trong quá trình điều tra.
Lệnh PowerShell được thực thi sau khi dán vào hộp thoại Windows Run sẽ dẫn đến một trình tải xuống bị làm rối mã nguồn, chủ yếu chịu trách nhiệm truy xuất và thực thi một payload giai đoạn hai từ một máy chủ từ xa. Mã độc giai đoạn hai này thực hiện trinh sát trên máy chủ bị xâm nhập và gửi thông tin đến cùng máy chủ đó, sau đó máy chủ này sẽ phản hồi bằng một trojan truy cập từ xa (RAT) PowerShell.
"Payload cuối cùng là một WebSocket RAT được lưu trữ trên cơ sở hạ tầng thuộc sở hữu của Nga, cho phép thực thi lệnh từ xa tùy ý, đánh cắp dữ liệu và khả năng triển khai các mã độc bổ sung," nhà nghiên cứu bảo mật Tom Hegel cho biết. "WebSocket-based RAT là một backdoor thực thi lệnh từ xa, thực chất là một shell từ xa cho phép kẻ điều hành truy cập tùy ý vào máy chủ."
Mã độc kết nối với một máy chủ WebSocket từ xa tại "wss://bsnowcommunications[.]com:80" và được cấu hình để nhận các thông điệp JSON được mã hóa Base64 bao gồm một lệnh để thực thi với Invoke-Expression hoặc chạy một payload PowerShell. Kết quả thực thi sau đó được đóng gói vào một chuỗi JSON và gửi đến máy chủ qua WebSocket.
Phân tích sâu hơn các lượt gửi lên VirusTotal đã xác định rằng tài liệu PDF chứa mã độc 8 trang đã được tải lên từ nhiều địa điểm, bao gồm Ukraine, Ấn Độ, Ý và Slovakia, có thể cho thấy mục tiêu tấn công rộng rãi.
SentinelOne lưu ý rằng việc chuẩn bị cho chiến dịch bắt đầu vào ngày 27 tháng 3 năm 2025, khi kẻ tấn công đăng ký tên miền "goodhillsenterprise[.]com", được sử dụng để phân phối các tập lệnh mã độc PowerShell bị làm rối mã nguồn. Điều thú vị là cơ sở hạ tầng liên quan đến "zoomconference[.]app" được cho là chỉ hoạt động trong một ngày duy nhất vào ngày 8 tháng 10.
Điều này cho thấy "kế hoạch tinh vi và cam kết mạnh mẽ đối với an ninh hoạt động," công ty đã chỉ ra, đồng thời cho biết thêm rằng họ cũng phát hiện các ứng dụng giả mạo được lưu trữ trên tên miền "princess-mens[.]click" nhằm thu thập vị trí địa lý, danh bạ, nhật ký cuộc gọi, tệp phương tiện, thông tin thiết bị, danh sách ứng dụng đã cài đặt và các dữ liệu khác từ các thiết bị Android bị xâm nhập.
Chiến dịch này chưa được quy cho bất kỳ tác nhân đe dọa hoặc nhóm nào đã biết, mặc dù việc sử dụng ClickFix trùng lặp với các cuộc tấn công được tiết lộ gần đây do nhóm tấn công mạng COLDRIVER liên quan đến Nga thực hiện.
"Chiến dịch PhantomCaptcha phản ánh một đối thủ có năng lực cao, thể hiện kế hoạch hoạt động rộng lớn, cơ sở hạ tầng được phân chia rõ ràng và kiểm soát lộ diện có chủ đích," SentinelOne cho biết.
"Khoảng thời gian sáu tháng giữa việc đăng ký cơ sở hạ tầng ban đầu và thực hiện tấn công, tiếp theo là việc gỡ bỏ nhanh chóng các tên miền hướng tới người dùng trong khi vẫn duy trì kênh lệnh và kiểm soát (C2) backend, nhấn mạnh một kẻ điều hành thành thạo cả kỹ năng tấn công và né tránh phát hiện phòng thủ."
