Зловредный фишинг: злоумышленники используют Google Forms для распространения трояна удалённого доступа

Атака направлена на профессионалов, активно ведущих деловые коммуникации в сети. Вместо традиционного спама в почтовом ящике жертва получает приглашение, например, через LinkedIn, перейти на форму Google Forms для участия в собеседовании, обсуждения проекта или получения финансового документа. Форма выглядит крайне убедительно: она использует логотипы и названия реальных компаний, преимущественно из финансового, логистического, технологического и энергетического секторов. Для придания правдоподобия в форме запрашивается профессиональная информация - опыт работы, образование, что имитирует стандартный процесс найма или делового взаимодействия.

Ключевой элемент атаки - ссылка для скачивания, размещённая в этой форме. Она ведёт на ZIP-архив, загруженный на популярные файлообменные сервисы (Dropbox, filedn.com) или скрытый за сервисами сокращения ссылок (tr.ee, goo.su). Имена архивов также соответствуют деловой тематике: "Project_Information_Summary_2026.zip", "{CompanyName}_GlobalLogistics_Ad_Strategy.zip" или "Collaboration Project with {CompanyName} Company 2026.zip". Это минимизирует подозрения у целевой аудитории.

После загрузки и открытия архива запускается многоэтапный процесс заражения. Внутри архива, наряду с легитимными PDF-файлами (например, описанием вакансии), находятся вредоносные исполняемые файлы. Основная нагрузка скрыта в DLL-библиотеке, часто с именем msimg32.dll, которая запускается с использованием техники подмены DLL (DLL hijacking). Эта техника позволяет обмануть легитимную программу, заставив её загрузить вредоносный код. Маскировка под документ - излюбленный приём злоумышленников, так как пользователи охотнее открывают файлы, выглядящие как стандартные офисные документы или описания.

Специалисты по кибербезопасности обнаружили, что вредоносный код в DLL выполняет ряд операций для обхода защиты. Он проверяет окружение на наличие отладчиков или песочниц (sandbox) с помощью функций IsDebuggerPresent() и time64(), и в случае обнаружения анализа прекращает работу, выводя сообщение об ошибке "This software has expired or debugger detected". Далее код обеспечивает своё закрепление в системе (persistence) через добавление в автозагрузку реестра (ключ CurrentVersion\Run\Miroupdate), после чего извлекает и запускает следующий этап - архив "final.zip".

На следующем этапе в систему распаковывается набор файлов, связанных с Python, включая обфусцированный скрипт (например, config.log или image.mp3). Его выполнение приводит к декодированию и запуску так называемого шелл-кода Donut - инструмента для создания позиционно-независимого кода, который может загружать и выполнять вредоносные модули непосредственно в памяти, минуя запись на диск. Финальной полезной нагрузкой, в данной кампании, является троян удалённого доступа PureHVNC.

PureHVNC относится к модульному RAT, написанному на .NET, и предоставляет злоумышленникам обширный контроль над скомпрометированным устройством. После внедрения, например, в процесс SearchUI.exe, троян начинает сбор системной информации, выполняя WMI-запросы для получения данных об антивирусном ПО, операционной системе и подключённых камерах. Для обеспечения устойчивости он создаёт задание в Планировщике задач Windows с помощью PowerShell-команды, запускаемой с повышенными привилегиями при их наличии.

Главная опасность PureHVNC заключается в его функциях по хищению данных. Троян целенаправленно ищет и извлекает информацию из браузеров (логины, пароли, историю), их расширений, а также из криптовалютных кошельков. Кроме того, он нацелен на данные из мессенджера Telegram и почтового клиента Foxmail. Конфигурация трояна, включая адреса командного сервера (C2), закодирована. В одном из проанализированных случаев использовался сервер с IP 207.148.66[.]14 и портами 56001-56003 для управления ботнетом.

Данная кампания - наглядный пример того, как злоумышленники эксплуатируют доверие пользователей к известным брендам и повседневным инструментам. Google Forms, Dropbox, LinkedIn - все эти сервисы ассоциируются с безопасностью и легитимностью, что снижает уровень критического восприятия у потенциальных жертв. Для специалистов по информационной безопасности это сигнал о необходимости адаптации программ осведомлённости. Сотрудников, особенно в отделах кадров, закупок и продаж, необходимо обучать не только распознаванию фишинговых писем, но и проверке подлинности любых онлайн-форм и запросов на скачивание файлов, даже если они приходят через, казалось бы, надёжные каналы.

Для митигации подобных угроз рекомендуется применять комплексный подход. Технические меры включают настройку почтовых шлюзов и веб-фильтров для блокировки ссылок с сокращателей URL и подозрительных файлообменников, а также использование решений класса EDR для обнаружения аномальной активности, такой подмена DLL, выполнение шелл-кода Donut или создание подозрительных заданий в Планировщике задач. На организационном уровне критически важна процедура верификации: любой запрос на скачивание файла или предоставление информации, полученный через неофициальные каналы, должен подтверждаться через проверенные контакты компании-отправителя. Бдительность и следование принципу нулевого доверия (Zero Trust) к неверифицированным источникам остаются ключевыми элементами защиты от изощрённых атак, использующих социальную инженерию.

IPv4

• 207.148.66.14

URLs

• https://dl.dropbox.com/scl/fi/52sgtk50j285hmde2ycry/Overview-of-the-MSI-Accounting-Project.rar?rlkey=9qmunvcp8oleeycld08gqwup9
• https://goo.su/CmLknt7
• https://tr..ee/R9y0SK
• https://www.fshare.vn/file/F57BN4BZPC8W

SHA256

• 1d533963b9148b2671f71d3bee44d8332e429aa9c99eb20063ab9af90901bd4d
• 258adaed24ac6a25000c9c1240bf6834482ef62c22b413614856b8973e11a79f
• 481360f518d076fc0acb671dc10e954e2c3ae7286278dfe0518da39770484e62
• 4957b08665ddbb6a2d7f81bf1d96d252c4d8c1963de228567d6d4c73858803a4
• 59362a21e8266e91f535a2c94f3501c33f97dce0be52c64237eb91150eee33e3
• 7f9225a752da4df4ee4066d7937fe169ca9f28ecddffd76aa5151fb72a57d54b
• 83ce196489a2b2d18a8b17cd36818f7538128ed08ca230a92d6ee688cf143a6c
• 85c07d2935d6626fb96915da177a71d41f3d3a35f7c4b55e5737f64541618d37
• 8d6bc4e1d0c469022947575cbdb2c5dd22d69f092e696f0693a84bc7df5ae5e0
• a92f553c2d430e2f4114cfadc8e3a468e78bdadc7d8fc5112841c0fdb2009b2a
• b18e0d1b1e59f6e61f0dcab62fecebd8bcf4eb6481ff187083ea5fe5e0183f66
• b78514cfd0ba49d3181033d78cb7b7bc54b958f242a4ebcd0a5b39269bdc8357
• c149158f18321badd71d63409d08c8f4d953d9cd4a832a6baca0f22a2d6a3877
• ca6bd16a6185c3823603b1ce751915eaa60fb9dcef91f764bef6410d729d60b3
• d6b7ab6e5e46cab2d58eae6b15d06af476e011a0ce8fcb03ba12c0f32b0e6386
• e0ced0ea7b097d000cb23c0234dc41e864d1008052c4ddaeaea85f81b712d07c
• e221bb31e3539381d4753633443c1595bd28821ab6c4a89ad00ea03b2e98aa00
• e7b9f608a90bf0c1e477a28f41cb6bd2484b997990018b72a87268bf46708320
• ea4fb511279c1e1fac1829ec2acff7fe194ce887917b9158c3a4ea213abd513a
• fe398eb8dcf40673ba27b21290b4179d63d51749bc20a605ca01c68ee0eaebbc