Kaspersky: Атака на бизнес через WhatsApp под видом счетов-фактур угрожает РФ

Эксперты «Лаборатории Касперского» зафиксировали в июне 2026 года масштабную кампанию по распространению вредоносных скриптов через мессенджер WhatsApp*. Злоумышленники используют скомпрометированные аккаунты для отправки файлов, замаскированных под счета-фактуры и банковские выписки, что позволяет им получать удаленный доступ к устройствам жертв. Атака затронула Малайзию, Бразилию, Сингапур, Тайвань и Вьетнам, однако локализация файлов на нескольких языках указывает на высокую вероятность адаптации схемы под другие регионы, включая Россию.

Механика атаки и методы маскировки

Ключевым элементом успеха кампании стало использование доверия к знакомым контактам. Атакующие отправляют сообщения с вредоносными вложениями от имени людей, чьи аккаунты были ранее взломаны. Пользователь видит сообщение от коллеги или партнера, что значительно снижает бдительность.

Для обхода фильтров безопасности и повышения доверия злоумышленники применяют следующие приемы:

• Маскировка под деловую документацию: Файлы именуются как «счет-фактура», «выписка по счету», «отчет об оплате» или «уведомление о задолженности».
• Локализация названий: Названия файлов адаптированы под языки целевых регионов (английский, португальский, французский, немецкий, малайский).
• Имитация легитимности: Внутри файлов VBScript содержатся обширные комментарии и метаданные, копирующие структуру компонентов Центра обновления Windows.

После запуска скрипта происходит поэтапное заражение: незаметно для пользователя загружаются и активируются дополнительные вредоносные модули с внешних серверов. Это дает злоумышленникам полный удаленный доступ к устройству через стандартные административные инструменты, обычно используемые для легитимной ИТ-поддержки.

Важный нюанс: Использование скомпрометированных аккаунтов доверенных лиц делает традиционные методы фильтрации спама неэффективными, так как сообщение приходит из «безопасного» источника.

География и потенциальные риски для бизнеса

На текущем этапе подтверждено воздействие на бизнес-сектор в Азии и Латинской Америке. Однако эксперты отмечают, что разнообразие языков в атаке свидетельствует о готовности киберпреступников расширять географию.

• Подтвержденные регионы: Малайзия, Бразилия, Сингапур, Тайвань, Вьетнам.
• Сигнал для рынка РФ: Наличие механизмов локализации и универсальность вектора атаки (деловая переписка) создают предпосылки для переноса кампании на российский рынок. Бизнесу следует ожидать аналогичных попыток, адаптированных под русский язык и специфику локальной бухгалтерской документации.

Риск заключается не только в утечке данных, но и в возможности получения полного контроля над корпоративными устройствами, что открывает путь для шифрования данных, промышленного шпионажа или использования ресурсов компании в бот-сетях.

Стоит учесть: Атака направлена на эксплуатацию человеческого фактора, а не на поиск технических уязвимостей в программном обеспечении мессенджера.

Рекомендации по защите инфраструктуры

Для минимизации рисков бизнесу необходимо пересмотреть протоколы работы с файлами, поступающими через мессенджеры. Эксперты Kaspersky GReAT выделяют три ключевых направления действий:

1. Проверка отправителя: При получении файла от знакомого контакта необходимо уточнить факт отправки через альтернативный канал связи (звонок, другой мессенджер).
2. Блокировка опасных расширений: Запретить открытие файлов с расширениями .vbs, .vbe, .exe, .bat, .cmd, .js и .ps1 на рабочих станциях.
3. Техническая защита: Установить на все устройства решения для кибербезопасности, эффективность которых подтверждена независимыми тестами.

На фоне этого: Самый надежный способ защиты — это отказ от открытия любых исполняемых файлов, полученных в мессенджерах, даже если они пришли от руководства или проверенных партнеров, без предварительной верификации.

• Мессенджер принадлежит корпорации Meta⋆, деятельность которой признана в РФ экстремистской.