В августе 2025 года фишинговые письма продолжали оставаться одним из ключевых инструментов киберпреступников, при этом 63% угроз приходилось на классический фишинг с использованием поддельных страниц входа. Злоумышленники активно применяли HTML-скрипты, точно копирующие дизайн легитимных сайтов, чтобы обманом получить учетные данные пользователей. Данные автоматически пересылались на командные серверы (C2) атакующих или использовались для перенаправления жертв на фальшивые ресурсы. Также участились случаи внедрения гиперссылок в PDF-документы, что усложняло detection (обнаружение) угроз.
Описание
Статистика расширений вложений демонстрирует, что злоумышленники комбинируют форматы: наряду с скриптами (.html, .js) распространяются архивы (.zip) и исполняемые файлы (.exe). За последние полгода отмечается рост сложности атак - вместо простых поддельных форм входа всё чаще используются документы с эксплоитами. Например, в августе выявлены случаи эксплуатации уязвимости CVE-2017-11882 в Equation Editor (EQNEDT32.EXE), приводящей к запуску malware (вредоносного ПО) Purecrypter. Этот троянец-шифровальщик (ransomware) способен блокировать данные жертв с требованием выкупа.
Особое внимание в отчете уделено региональным особенностям. Фишинговые кампании на корейском языке используют темы, связанные с уведомлениями о доставке, налоговыми вычетами и блокировками учетных записей. Такие письма часто содержат вложения с названиями, имитирующими официальные документы (например, "Счет-фактура.pdf" или "Уведомление_о_проверке.zip"). Это позволяет злоумышленникам обходить наивные фильтры и повышает уровень доверия со стороны жертв.
Анализ показал, что атаки стали более многоуровневыми: вместо прямого распространения вредоносных нагрузок (payload) злоумышленники сначала заставляют пользователя взаимодействовать с фишинговой страницей, а затем перенаправляют его на сайт с эксплоитом или подменённым ПО. В некоторых случаях исполняемые файлы упаковываются в ZIP-архивы с двойными расширениями (например, "Document.pdf.exe"), что затрудняет detection системами защиты.
Эксперты отмечают, что традиционные сигнатуры и статический анализ часто бессильны против современных фишинговых атак, поскольку злоумышленники активно используют полиморфный код, обфускацию и легитимные сервисы для размещения C2. Для защиты рекомендуется применять комплексные решения: обучение сотрудников, ATP-системы (Advanced Threat Protection), анализ поведения и своевременное обновление ПО для закрытия известных уязвимостей.
Индикаторы компрометации
MD5
- 02b1c04c215d6a9a0568a25e95e14d90
- 0f3abc5fbbb1bc8173070c0a2caf633f
- 1543821e1b0ef89239007489bebd00be
- 16a6a8fa735eaff4f3781c9025fc0289
- 1a773e1957d4ed2844041c968154bf7b