С марта по май 2026 года эксперты Bi.Zone Threat Intelligence выявили волну фишинговых атак, организованных кластером Fluffy Wolf. Жертвами киберпреступников стали российские компании из разных сфер: строительства, консалтинга, обрабатывающей промышленности, инжиниринга, розничной торговли и электронной коммерции. Эту информацию CNews предоставили представители Bi.Zone.
В рамках фишинговых кампаний кластер маскировался под партнеров или подрядчиков атакованной организации. Злоумышленники предлагали оплатить финансовую задолженность и изучить «документы», прикрепленные к письму. Среди них находился файл с платежными реквизитами, а также файл, содержащий претензию и требование погасить долг.
Обнаружено два варианта фишинговых сообщений: с вложением в виде RAR-архива, содержащего вредоносное ПО, и со ссылкой на GitHub-репозиторий атакующих, откуда загружался RAR-архив с вредоносным кодом. Внутри архива находились вредоносные загрузчики и дропперы, предназначенные для внедрения в целевую систему стилера PureLogs, трояна удаленного доступа PureRAT и шифровальщика Pay2Key. Киберпреступники не создавали вредоносное ПО самостоятельно, а приобретали инструменты на теневых площадках. Например, годовая подписка на PureCrypter стоит $449, на PureLogs — $1250, а на PureRAT — $1499.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «В ходе новой кампании группа сократила расходы на проведение атаки: загрузчик PowerLoader обошелся ей примерно в 120 долларов. Общая стоимость всего арсенала вредоносного ПО оценивается в несколько тысяч долларов. В случае успешной атаки кластер может получить значительную прибыль. Например, в 2025 году средняя сумма выкупа, которую злоумышленники требовали у жертв за восстановление доступа к данным, составляла 193 тыс. долларов».
Кластер Fluffy Wolf сохранил привычный набор вредоносного ПО, но расширил способы его доставки. Киберпреступники применили плагин PluginRemoteDesktop для PureRAT, который ранее не использовался в атаках на российские компании. Кроме того, злоумышленники приобрели загрузчик PowerLoader для повышения эффективности проникновения и обхода защитных механизмов.
Еще одна примечательная деталь — использование ссылок на репозитории GitHub в фишинговых письмах. Поскольку такие ссылки выглядели легитимно, вероятность того, что жертва перейдет по вредоносному адресу, возрастала. С их помощью киберпреступники обходили почтовые фильтры и сетевые средства защиты.
Согласно данным исследования Threat Zone 2026, в прошлом году 64% целевых атак начинались именно с фишинговых писем. В 2024 году этот показатель был ниже и составлял 57%.
