Трояны и фишинг поделили почти 90% вредоносных вложений: аналитики раскрыли апрельскую статистику угроз

Согласно отчёту, лидером среди угроз в прикреплённых файлах стали трояны - их доля составила 47%. Эти вредоносные программы распространяются под видом безобидных документов или файлов с двойным расширением. Пользователь видит, например, "счёт.pdf.exe" и по привычке запускает его, после чего троян устанавливается в систему. Злоумышленники постоянно обновляют варианты таких вложений, комбинируя их с методами социальной инженерии: используют актуальные темы вроде налоговых уведомлений, подтверждений доставки или срочных запросов цен.

На втором месте расположился фишинг - 39%. Это значительный рост по сравнению с предыдущим месяцем, когда его доля составляла всего 21%. Фишинговые вложения чаще всего представляют собой HTML-скрипты, которые после открытия отображают поддельную страницу входа в онлайн-банк, почтовый сервис или корпоративный портал. Введённые данные - логин и пароль - сразу уходят на сервер злоумышленников. Специалисты также обнаружили документы PDF, содержащие гиперссылки на такие фишинговые страницы.

Третьим по распространённости типом стал загрузчик - 10%. После запуска такое вложение связывается с командным сервером (C2 - внешний сервер, управляющий вредоносной активностью) и скачивает дополнительные модули. Остальные категории заняли меньшую долю: дроппер (2%), похититель информации (2%) и эксплойт (1%). Интересно, что доля вредоносных скриптов в целом за полгода снизилась, а доля троянов, напротив, слегка увеличилась. Количество фишинговых поддельных страниц, которые встраиваются в письма, выросло почти в полтора раза.

Статистика расширений файлов подтверждает, что злоумышленники предпочитают знакомые пользователю форматы. Самым популярным оказался ZIP-архив - 25% от всех обнаруженных вложений. Далее идут PDF (17%), HTML (11%) и RAR (8%). Документы Excel (XLS) и Word (DOCX) составили по 5% и 4% соответственно. Среди сжатых форматов встречались также 7Z (6%), GZ (3%) и TAR (2%). Использование SHTML (4%) говорит о том, что атакующие адаптируются к фильтрам почтовых систем и применяют менее распространённые типы скриптов.

В апреле 2026 года специалисты зафиксировали целый ряд фишинговых кампаний, ориентированных на корейских пользователей, но использованные методы универсальны и встречаются по всему миру. Например, письма приходили с темами "электронный налоговый счёт", "обновление учётной записи электронной почты", "уведомление о доставке DHL" и "запрос срочного ценового предложения". В качестве вложений злоумышленники прикладывали файлы с названиями вроде NTSeTaxInvoice.html или DOC122812.pdf. В одном из случаев скрипт имитировал страницу обновления почтового сервиса Министерства объединения Кореи. После ввода учётных данных они отправлялись на подставной сервер hxxps://www.seety.it/crinity/unikorea.go.kr/save.php.

Другая рассылка маскировалась под южнокорейскую производственную компанию "Yujin Technology". В письме сообщалось о повышении цен, а получателя просили открыть PDF-файл, чтобы ознакомиться с новым прайс-листом. На самом деле документ содержал скрытую ссылку на фишинговую страницу, после перехода по которой также происходила кража логина и пароля. Командным сервером в этой кампании выступал ресурс hxxps://fkp.su/Page/info.php.

Особого внимания заслуживает атака, в которой злоумышленники представились нефтяной компанией "Hyundai E&F". Жертве предлагали распаковать ZIP-архив и открыть PDF с коммерческим предложением. Внутри архива находился не только сам PDF, но и вредоносный исполняемый файл, который после открытия документа незаметно устанавливал связь с почтовым сервером злоумышленников. Аналитики выяснили, что для отправки украденных данных использовался адрес hosting2.ro.hostsailor.in с портом 587, учётная запись sales@rollmann.in, а финально данные уходили на ящик zamanic62@gmail.com.

Такая комбинация - поддельные страницы входа, вложения с двойными расширениями и сжатые архивы - остаётся классическим и при этом эффективным инструментом. Рост доли фишинговых вложений почти вдвое за месяц говорит о том, что преступники перенастраивают свои кампании под текущие реалии. Пользователи привыкли к предупреждениям о троянах, но меньше ожидают подвоха от HTML-страниц или PDF-документов. В результате атаки, построенные на имитации доверенных брендов и срочности, приносят злоумышленникам стабильный доход.

Главный вывод для специалистов по информационной безопасности: необходимо усиливать контроль именно за фишинговыми страницами, встроенными в письма. Современные почтовые шлюзы неплохо блокируют исполняемые файлы, но пропускают HTML и PDF. Обучение сотрудников должно включать не только запрет на запуск подозрительных EXE, но и осторожность при открытии любых вложений, особенно если они требуют ввода учётных данных. Статистика апреля - чёткий сигнал, что атакующие будут продолжать давить на человеческий фактор, а технические средства защиты должны быть готовы к быстрой смене тактики.

MD5

• 022ee27cd9682ad9163481c8475c2cf6
• 0d94615194b814b339a4ff6624eca249
• 2461f930c410d16f2baa5ce89981a618
• 2d7006c5e2ed453c8161ade575818770
• 32b14cf420cbbff0f9c9f6372d8e0aa3
• 38c62aa85d5a56e30a51dea42ab25b6d
• 3da94d43ee7e717cab61411a6bf3652c
• 445dae0606ebe8d2f6a3039bc1de33fd
• 4efb43640db69da9727cb345e8ec68fe
• 5f071b58343cc80ef4f50dab25e4e87b
• 6864f4e6ddd1a510bfc36a187c5cfa3c
• 6a78b581d24c1594a17845beae5ee37f
• 6aec2b4476bbd484050e882b8d15295b
• 6e31a9ef724fb32399ea7c4b3e2e2ff5
• 72ff2c8bf509e2b5e07e19d431ef1759
• 76ec5ed59228399e34a2cde4eb3b0086
• 7f3537d2da17230d6832419848bc192e
• 838ae48fb57ac075a6d12ef58fe73f08
• 97704db15c26e4ed3f565df0652798d2
• a0eba195bef0cb949f8f5e7359e7595f
• a118185fa98992eb2a96bedd0e82fce1
• a76143f9389210e654e7b6294018f1c7
• a8f4ea5c0ea0c7aadc4fe409552a3d41
• cdc1e6cbf5b865d6129ef40e228f8fbe
• d33f0f332f520d0a877f336bef2aa30d
• e8e8d8a3f9a9e92282b1a2b660843a4a
• f1bb8c5346a0e54daac1bb46abfd67de
• fa96bcb49a84e456e1417a184b4d2c9c
• fc98754c49360bc180d94e0851d153e5
• fede3b9deac06b64a267ebfdb75fb411