Анализ почтовых угроз за март 2026 года демонстрирует заметный сдвиг в тактиках злоумышленников. Вместо массовых фишинговых рассылок с поддельными страницами, доля которых резко сократилась, на первый план вышли классические вредоносные программы, скрытые в различных типах вложений. При этом ключевой тренд - рост угроз, использующих скриптовые форматы файлов, которые обходят традиционные защитные механизмы, ориентированные на исполняемые файлы. Эти изменения требуют от специалистов по безопасности пересмотра подходов к анализу входящей почты и применения многослойной защиты.
Описание
Согласно данным мониторинга, в марте троянцы составили самую крупную категорию угроз, распространяемых через вложения, заняв 21% от общего объёма. Эти вредоносные программы продолжают активно использовать такие техники социальной инженерии, как файлы с двойными расширениями (например, "document.pdf.exe") или названия, имитирующие легитимные документы, чтобы побудить пользователя к запуску. Следом идёт фишинг, или FakePage, однако его доля претерпела значительное изменение, сократившись с 42% в феврале до 15% в марте, при этом абсолютный объём подобных писем снизился незначительно. Это может указывать на общее увеличение общего числа атак с другими типами полезной нагрузки. Доля загрузчиков (downloaders) составила 9%, а дропперов (droppers) - 7%.
Статистика по расширениям файлов-вложений даёт более детальное понимание векторов атаки. Категория скриптовых файлов оказалась наиболее распространённой: HTML-файлы составили 14%, а JS (JavaScript) - 11%. По сравнению с предыдущим месяцем распространение вредоносного ПО через скрипты увеличилось существенно. Среди архивных форматов лидирует ZIP (14%), за ним следуют RAR (8%) и 7Z (5%). Документные форматы представлены в основном PDF (13%), тогда как XLS и DOCX занимают 5% и 2% соответственно. Эксперты отмечают, что распределение троянцев выросло незначительно, а дропперы и загрузчики, напротив, немного сократились. Объёмы атак с использованием архивов и документов показали небольшой рост.
Особое внимание привлекает анализ фишинговых рассылок на корейском языке, которые отличаются высокой степенью таргетированности. Как сообщают аналитики, в марте было зафиксировано множество писем, маскирующихся под уведомления от курьерских служб FedEx и DHL, финансовые квитанции и налоговые счета, в том числе от Hana Bank. В случае скриптовых атак злоумышленники, выдавая себя за Woori Bank, перенаправляли жертв на фишинговые страницы для кражи учётных данных. Для связи с командным сервером в таких атаках использовался токен вызова Telegram API, что усложняет обнаружение трафика. При атаках с документами в роли вложения выступал PDF-файл, замаскированный под коммерческое предложение от поставщика промышленного оборудования. Его исполнение приводило к установке удалённого административного трояна RemcosRAT и хищению информации. C2-сервер в этой операции использовал домен controller.airdns.org на порту 45177. В сценариях с архивными вложениями, например, под видом экспортёра текстиля, распространялся инфостилер AgentTesla, который извлекался и запускался после распаковки архива. Для управления использовался внешний почтовый сервер и подозрительный адрес в качестве C2.
Эти данные указывают на несколько важных тенденций. Во-первых, злоумышленники отказываются от громоздких поддельных веб-страниц в пользу более прямых и эффективных методов доставки вредоносного кода - троянцев и скриптов. Во-вторых, наблюдается рост использования легитимных и повсеместно применяемых форматов файлов, таких как HTML, JS и PDF, которые часто вызывают меньше подозрений у пользователей и могут обходить базовые фильтры безопасности. В-третьих, фишинг становится более целенаправленным и контекстным, используя локальные реалии и бренды, как в случае с корейскими банками и службами доставки.
Для компаний эти изменения означают необходимость усиления защиты на нескольких уровнях. Помимо стандартного антивирусного сканирования, критически важным становится анализ поведения файлов в песочнице (sandbox), особенно для скриптовых и документных форматов, а также тщательная проверка гиперссылок внутри PDF-документов. Кроме того, программы повышения осведомлённости сотрудников должны включать новые примеры угроз, акцентируя внимание на опасности файлов со скриптовыми расширениями и двойными окончаниями. Сдвиг в сторону сложных, многоступенчатых атак с использованием дропперов и загрузчиков также подчёркивает важность мониторинга сетевой активности на предмет аномальных соединений с внешними ресурсами, включая облачные API и нестандартные порты.
Индикаторы компрометации
Domain Port Combinations
- ccp11nl.hyperhost.ua:587
- controller.airdns.org:45177
MD5
- 06dc18771404694814d6a430bb65d1a3
- 0a15c9a545fbf78d77f8c130a3b0f840
- 0a18f61e8d8e9873cdda4b3b6785d7ad
- 0d15bf48b73de307eff29f07a6e6d55b
- 0e9bd0c9991b21b13eddb518dee0eecf
