Целевые фишинговые атаки Goffee: злоумышленники осваивают новые форматы доставки вредоносного ПО

Согласно отчёту исследовательской компании, в январе-марте 2026 года эксперты обнаружили 67 уникальных образцов вредоносного ПО, относящихся к активности Goffee. Особенно примечательными стали два всплеска в марте: на неделях, начинающихся 9 и 23 марта, фиксировались пики в 20 и 17 образцов соответственно. Такая динамика указывает на проведение двух отдельных скоординированных кампаний. Кроме того, в части образцов специалисты отметили признаки генерации кода с помощью больших языковых моделей (LLM), что может свидетельствовать о попытках ускорить разработку новых вариантов вредоносного софта.

Основным вектором первоначального доступа остаётся целевая фишинговая рассылка. Злоумышленники распространяют ZIP- и RAR-архивы с вредоносными вложениями. В качестве стартовой полезной нагрузки используются BAT-скрипты, XLL-надстройки Excel и исполняемые файлы. При этом, независимо от формата доставки, конечной целью почти всегда становится установка бэкдора (вредоносной программы, предоставляющей удалённый доступ к системе) - модификаций WarpPlugin или, реже, Kharon.

Особый интерес представляет эксплуатация уязвимости CVE-2025-6218 при работе с RAR-архивами. Когда пользователь распаковывает архив, скрипт run.bat автоматически помещается в папку автозагрузки, что обеспечивает закрепление злоумышленника в системе. После перезагрузки или при следующем входе в систему скрипт запускается и загружает следующую стадию цепочки со скомпрометированного легитимного ресурса - PowerShell-загрузчик, который доставляет WarpPlugin. В ряде кампаний для запуска BAT-файла использовался LNK-файл (файл ярлыка). Попутно PowerShell-скрипт декодировал и открывал PDF-документ-приманку, закодированную в формате Base64, чтобы отвлечь жертву и сделать атаку менее заметной.

В первом квартале 2026 года Goffee активно применяла XLL-файлы как контейнер первой стадии. Такие образцы совмещают в себе XLSX-приманку и код загрузчика. При открытии файла вызывается экспортируемая функция xlAutoOpen, после чего на узле сохраняются компоненты вредоносной цепочки, выполняется закрепление и запускается следующая стадия. Переход к XLL-формату позволяет имитировать открытие легитимной таблицы Excel и обходить средства защиты, которые в первую очередь ориентированы на обнаружение макросов в офисных документах.

В феврале 2026 года был зафиксирован ещё один вариант доставки: вместо XLL-файла в архиве распространяется исполняемый файл с графическим интерфейсом, который имитирует защищённый документ. Несмотря на изменение формы, логика атаки остаётся прежней: исполняемый файл служит оболочкой для запуска очередной версии WarpPlugin. После внедрения WarpPlugin проводит первичный сбор сведений о системе и переходит к регулярному взаимодействию с сервером управления и контроля (C2). Имплант передаёт базовую информацию об узле, после чего функционирует в режиме опроса C2 и исполняет поступающие команды.

В исследованных версиях бэкдора поддерживаются функции удалённого выполнения команд и передачи файлов, а в отдельных модификациях - такие дополнительные возможности, как создание снимков экрана и кейлоггинг (запись нажатий клавиш). Для закрепления в системе используются стандартные механизмы операционной системы - реестр и планировщик задач.

Таким образом, активность Goffee в первом квартале 2026 года характеризуется высокой вариативностью форматов доставки при сохранении общей логики атаки: фишинговая рассылка, запуск стартовой стадии под видом легитимного файла, загрузка и закрепление импланта, затем удалённое управление заражённым узлом. Наиболее заметными изменениями стали расширение использования XLL-файлов, применение исполняемых приманок с графическим интерфейсом и появление отдельных цепочек с более сложной маскировкой полезной нагрузки. Эти тенденции требуют от специалистов по информационной безопасности копать глубже стандартных методов обнаружения: защиты, основанные исключительно на блокировке макросов или известных сигнатурах, уже не дают гарантий. Организациям из целевых отраслей следует усилить мониторинг фишинговых писем, внедрять поведенческий анализ и обращать внимание на аномалии в запуске процессов, инициированных архивными или офисными файлами.

Domains

• awalitalk.com
• certcheck.online
• certforge.online
• certhash.online
• certinform.online
• certverify.online
• easytrns.com

MD5

• 0dc500fb0b171d156636eb996c9ba947
• 2a1fc2b463bc67aba7684677698780b5
• 2ab0281278221a99bbab80041a2dd30e
• 3df00170fae378288f79e74a1c9208be
• 3f77ac1079c509b8d3570945dac68622
• 4612f7b5a2ed2b0ce465b1d426dd3b64
• 48c9db380d57d99d21b1d7cc97f9610b
• 6ad89f23de6f3bd74a8972b4117702e8
• 8d57318aa6b701f42f14b901c4076d2b
• 9a66a0629bc15c412ea35822115098b5
• a0c1c3ce658e375b76a2b85af1ba8d15
• b81ea1750217fbbf8739f7518cc686d3
• d90253737912618dc9013a35fda8b6c1
• db9f8d502382c87748f180efcb085c21