Эксперты компании «Перспективный мониторинг» (входящей в ГК «ИнфоТеКС») выявили попытку распространения вредоносного ПО через фишинговую атаку, направленную на организацию в сфере авиаперевозок. Об этом CNews проинформировали представители «Перспективного мониторинга».
Атака стартовала с отправки на корпоративный почтовый ящик сотрудника организации фишингового письма, озаглавленного «Исх. № 451/63-26 от 23.04.2026 г.», с содержанием: «Здравствуйте, пожалуйста, передайте руководству». К письму прилагался файл «Инструктаж.docx», в котором описывались риски, связанные с атаками и нехваткой топлива. Для минимизации этих угроз в документе предлагалось изучить порядок действий. Для этого пользователю требовалось открыть вложенный в документ архив «Инструктаж.7z».
Внутри архива «Инструктаж.7z» находится только один файл — «Инструктаж.pdf.exe», имеющий двойное расширение для маскировки. После активации «Инструктаж.pdf.exe» на экране появляется ложное сообщение об ошибке, однако в действительности в этот момент происходит распаковка explorer.exe. Вредоносное ПО маскируется под проводник Windows как по названию, так и по значку.
Explorer.exe ищет в системе файлы с расширениями *.txt, *.csv, *.rtf, *.zip, *.doc, *.docx, *.odt, *.pdf, *.ppt, *.rar, *.xls, *.xlsx и другими. Список обнаруженных файлов записывается в скрытый файл и отправляется на управляющий сервер злоумышленника.
«В качестве C2-сервера вредоносное ПО использует сторонний роутер, который, по всей видимости, был взломан и применяется как прокси-сервер. На момент проведения исследования установить C2-взаимодействие с этим сервером не получилось», — отметил Александр Рудзик, руководитель направления исследований киберугроз компании «Перспективный мониторинг».
В открытых источниках были обнаружены и другие файлы, связанные с explorer.exe: «Настройки Bitrix.msi» включает CAB-файл SSbySW, из которого создается explorer.exe, аналогичный найденному в текущей фишинговой рассылке; в другой активности применяются архив 3D-Komplekt.rar, поддельный установочный файл 3D-Komplekt.msi / OpenVPN-2.7.1.msi / Update_KB839043_26.474.msi, дроппер StickyStrike.exe и стилер explorer.exe.
Для предотвращения подобной атаки на организацию специалисты «Перспективного мониторинга» советуют: осуществлять проверку и фильтрацию входящих электронных писем с помощью антивирусной защиты, оснащенной модулем «Анти-фишинг»; регулярно обучать сотрудников методам защиты от атак, использующих социальную инженерию; провести антивирусную проверку на узлах и убедиться в актуальности сигнатурных баз; ограничить доступ к файлам, связанным с распространением вредоносного ПО; заблокировать доступ к следующему сетевому ресурсу, относящемуся к C2-серверам злоумышленников: 217.25.220[.]101.
