Киберпреступники маскируются под обычные файлы и скрипты

Во втором квартале 2025 года, согласно ежеквартальному отчёту Threat Insights Report, подготовленному HP Wolf Security, злоумышленники продолжили совершенствовать методы, позволяющие им скрывать свои действия внутри доверенных форматов и процессов. Основной тренд — использование «живущих на земле» (living off the land) техник, которые позволяют атакующим пользоваться встроенными инструментами операционной системы, минимизируя вероятность обнаружения.

XWorm: эксплуатация встроенных инструментов

Одной из заметных кибератак стала кампания, связанная с удалённым доступом (Remote Access Trojan) под названием XWorm. Вместо использования специализированного вредоносного ПО, злоумышленники объединили несколько встроенных инструментов Windows, таких как PowerShell и MSBuild. Эти инструменты позволили им выполнять команды, копировать файлы и расшифровывать скрытые нагрузки без активного срабатывания систем безопасности.

Финальная нагрузка XWorm была спрятана в пикселях законного изображения, загруженного с доверенного сайта. После извлечения данных с помощью PowerShell, MSBuild запустил вредоносный код, обеспечив удалённый доступ и возможность кражи данных.

Письма-закладки и поддельные документы

Почтовые атаки остаются основным методом доставки угроз, составляя 61% всех инцидентов. Атакующие активно используют форматы документов для маскировки своих действий. Например, были зафиксированы письма с темой «счета», с прикреплёнными SVG-файлами, имитирующими Adobe Acrobat. Эти файлы содержали скрипты, которые запускали обратные shell-соединения и собирали данные.

Другая волна атак включала PDF-файлы с размытыми изображениями счётов и кнопками загрузки. Ссылка вела на ZIP-архив, содержащий вредоносный скрипт, зашифрованный на языке Visual Basic. В некоторых случаях, если жертва находилась во Франции, дополнительно распространялся ModiRAT — ещё один троян для удалённого доступа.

Возрождение устаревших форматов

Атакующие также используют редко встречающиеся форматы файлов, такие как Compiled HTML Help (.chm), которые ранее применялись для руководств по Windows. Эти файлы поддерживают скрипты, что делает их подходящими для многоэтапных атак. Открытие файла, оформленного как документ проекта, запускало скрипты, ведущие к заражению XWorm.

Файлы-ярлыки (LNK) снова стали популярны. В одном случае они были упакованы в ZIP-архив, прикреплённый к письму, и выдавались за PDF-документы. На деле они запускали вредоносный код, устанавливающий Remcos RAT, с финальной нагрузкой, спрятанной в формате PIF.

Устойчивость Lumma Stealer

Несмотря на международную операцию по блокированию Lumma Stealer в мае 2025 года, его распространение продолжилось в июне. Атакующие перешли на новые серверы и методы доставки. Один из способов включал вложения в виде архивов IMG, которые Windows распознавала как виртуальные диски. Это позволило запустить HTML-приложение, выдающее себя за счёт, и в конечном итоге — обфусцированный PowerShell-скрипт, который запускал Lumma Stealer напрямую в памяти.

Тренды по доставке угроз

Во втором квартале 2025 года архивы были основным методом доставки угроз — 40% всех случаев. Следующие по популярности — скрипты и исполняемые файлы (35%). Форматы документов, такие как Word, Excel и PDF, составили меньшую, но значимую долю.

Атакующие продолжают использовать разнообразные форматы, выбирая те, которые меньше всего подозреваются. Даже устаревшие форматы, такие как .chm и .pif, получают новую жизнь в современных атаках.

Рекомендации для защиты

Отчёт показывает, что злоумышленники сконцентрировались на интеграции в нормальные пользовательские процессы. Использование доверенных форматов, встроенных инструментов и реалистичных приманок помогает им избежать раннего обнаружения.

Для защитников важно выйти за рамки проверки подписей файлов и базовых фильтров. Стратегии обнаружения, ориентированные на анализ поведения, методы обеспечения устойчивости и неправомерное использование системных инструментов становятся критически важными.

Кампании, описанные в отчёте, демонстрируют, что современные атакующие не нуждаются в продвинутом вредоносном ПО, когда повседневные инструменты и форматы могут быть использованы как оружие.

Когда доверие становится воротами вируса

Киберпространство продолжает эволюционировать, но не в сторону большей безопасности. Во втором квартале 2025 года злоумышленники всё чаще используют «живущие на земле» (living off the land) методы, то есть встроенные в систему инструменты, чтобы минимизировать шансы на обнаружение. Такой подход — не случайность, а стратегия. Он позволяет обойти традиционные методы обнаружения вредоносного ПО, основанные на сигнатурах и известных шаблонах. Атакующие, таким образом, осознанно эксплуатируют доверие пользователей и систем к привычным инструментам.

Скрытые мотивы и стратегии: кто и зачем играет

XWorm, один из самых заметных троянов, демонстрирует, как злоумышленники используют комбинацию PowerShell и MSBuild — инструментов, которые в нормальном состоянии предназначены для легального программирования и администрирования. Это говорит о том, что атакующие не стремятся к хаосу, а работают с высокой степенью планирования и терпения. Их цель — не массовые атаки, а точечное захватывание ресурсов, чтобы избежать внимания и продолжать свою деятельность в течение длительного времени.

Важно отметить, что Lumma Stealer, несмотря на международную операцию по блокированию, продолжает существовать. Это не просто упрямство злоумышленников — это показатель того, насколько высоки прибыли от кражи данных, особенно в условиях, когда защита основана на старых методах. Атакующие адаптируются, меняют серверы, форматы доставки и методы маскировки, чтобы не потерять позиции.

Системные паттерны: как меняются угрозы и что это значит

Одним из ключевых трендов является восстановление устаревших форматов, таких как .chm и .pif. Эти форматы, которые ранее использовались для документации и старых приложений, сегодня становятся инструментами киберпреступности. Это не случайное возрождение — это стратегическое использование «забытых» технологий, которые не проверяются так тщательно, как, например, исполняемые файлы.

Также растёт роль почтовых атак. В 61% случаев атаки начинаются с электронной почты. Это не просто удобный канал — это психологический хак. Люди доверяют письмам, особенно если они выглядят официально. Атакующие этим пользуются, создавая убедительные фабулы: счёты, документы, обновления. Это говорит о том, что атаки всё больше становятся социальными, а не техническими.

Уроки для России: как сохранить киберпространство безопасным

Для России, где киберпространство играет ключевую роль в экономике, науке и обороне, эта ситуация особенно важна. Живущие на земле атаки требуют нового уровня безопасности, выходящего за рамки сигнатур и антивирусов. Нужны системы, которые отслеживают поведенческие аномалии — например, необычное использование PowerShell или MSBuild в нестандартное время суток.

Кроме того, необходимо повышать осведомлённость пользователей. Человеческий фактор остаётся слабым местом. Если пользователь кликает на поддельный счёт или загружает вредоносный ZIP-файл, система может быть скомпрометирована даже с высоким уровнем защиты.

В краткосрочной перспективе ожидается увеличение атак, ориентированных на государственные и финансовые учреждения, где данные особенно ценны. В долгосрочной — развитие систем, способных анализировать поведение в реальном времени, будет критически важным.

В заключение, киберпространство становится всё сложнее и менее предсказуемо. Атаки, использующие повседневные инструменты, требуют нового подхода к защите, основанного не на том, что вредоносное, а на том, что необычное. Россия, как и другие страны, должна двигаться в этом направлении — не только для защиты своих систем, но и для сохранения доверия в цифровую эпоху.