Февраль 2026 года наглядно продемонстрировал, что фишинг остается одним из самых эффективных и массовых векторов кибератак, постоянно адаптируясь к новым технологиям защиты. Согласно данным последнего отчёта, классический фишинг, направленный на кражу учетных данных, по-прежнему лидирует, однако злоумышленники активно комбинируют его с продвинутыми методами доставки вредоносного кода, включая стеганографию и использование легитимных процессов операционной системы. Эта эволюция тактик представляет серьёзную угрозу как для обычных пользователей, так и для корпоративных систем, где человеческий фактор остаётся ключевым звеном в цепи безопасности.
Описание
Статистика угроз, содержащихся во вложениях фишинговых писем за февраль, показывает чёткое распределение приоритетов злоумышленников. На первом месте, с результатом в 42%, находится непосредственно фишинг (FakePage). В рамках этой тактики атакующие используют HTML-скрипты, с хирургической точностью воспроизводящие layout, логотипы и шрифты реальных страниц входа в аккаунты или рекламных порталов. Цель - обманом заставить жертву ввести свои логин и пароль, которые незамедлительно пересылаются на сервер управления злоумышленника (C2, Command and Control). Альтернативный сценарий - редирект пользователя на полностью подконтрольные злоумышленникам фишинговые сайты. Кроме того, популярным методом стало внедрение гиперссылок в документы, например, в PDF-файлы, которые также ведут на мошеннические ресурсы.
Однако наиболее тревожными выглядят тенденции, отмеченные в анализе реальных кейсов распространения. Эксперты, проанализировавшие февральские кампании, выделяют три основных формата вредоносных вложений: скрипты, документы и архивы. Если со скриптами, ведущими на фишинговые страницы, всё более-менее предсказуемо, то методы доставки полноценного вредоносного ПО стали изощрённее. Так, в одном из случаев вредоносная нагрузка доставлялась с помощью двойного архива (сжатого файла). После распаковки жертве предлагалось запустить JS-файл, который, в свою очередь, внедрялся в легитимный системный процесс «aspnet_compiler.exe». Эта техника, известная как living-off-the-land (использование встроенных средств), позволяет маскировать вредоносную активность под обычные действия системы. Конечной целью атаки был запуск трояна удалённого доступа Remcos RAT, предоставляющего злоумышленникам полный контроль над заражённым компьютером. Полный разбор подобных инцидентов, включая адреса C2-серверов и тексты писем, содержится в отчёте.
Параллельно аналитики фиксируют рост случаев использования стеганографии в фишинговых рассылках. Этот метод подразумевает сокрытие вредоносного кода или скриптов внутри безобидных на первый взгляд файлов изображений. При открытии такого файла специальной программой или по определённому триггеру скрытая вредоносная составляющая извлекается и активируется. Подобные техники позволяют обходить традиционные средства защиты, основанные на сигнатурном анализе, и представляют серьёзную проблему для систем обнаружения угроз. Особое внимание в отчёте уделяется фишинговым кампаниям на корейском языке, что указывает на географическую специфику целевых атак и позволяет специалистам по безопасности отслеживать часто используемые в определённых регионах ключевые слова в темах писем и именах вложений.
Последствия успешных атак, описанных в отчёте, варьируются от компрометации отдельных учетных записей и кражи финансовых данных до полного захвата контроля над рабочей станцией в корпоративной сети через RAT. Это создаёт риски масштабных утечек конфиденциальной информации, финансового ущерба и последующего проникновения вглубь инфраструктуры организации. Для противодействия этим угрозам необходимо комбинировать технические и организационные меры. К первым относятся многофакторная аутентификация, которая резко снижает ценность украденных паролей, почтовые шлюзы с продвинутым анализом вложений и песочницами для проверки подозрительных файлов, а также EDR-решения, способные обнаруживать аномальное поведение процессов, например, внедрение в «aspnet_compiler.exe». Не менее важны регулярные тренинги по киберграмотности для сотрудников, обучающие идентифицировать признаки фишинга, и чёткие регламенты по работе с вложениями из непроверенных источников. Февральские тренды - это очередное напоминание, что в современной кибербезопасности не существует «серебряной пули», и только многоуровневая защита, сочетающая технологии, процессы и осведомлённость людей, может эффективно противостоять развивающимся угрозам.
Индикаторы компрометации
MD5
- 04f4537b1f73eeacae2eb8faf7cbf993
- 074a9624ec5680cbd230315076222430
- 15c4ae18d069174186fc03a61c2b51e5
- 1aa04f395aaa12484b509fa3f1731bcb
- 1f8715d769b879769fa4c65a2c9a9467