Специалисты «Перспективного мониторинга» (входит в ГК «ИнфоТеКС») обнаружили попытку распространения вредоносного программного обеспечения с помощью фишинга в организации авиатранспортной отрасли.
Атака началась с отправки на корпоративную почту сотрудника организации фишингового письма с заголовком «Исх. № 451/63-26 от 23.04.2026 г.» и текстом: «Добрый день, просим передать руководству». К письму приложен документ «Инструктаж.docx», посвящённый рискам атак и дефицита топлива. Для противодействия этим угрозам в документе предложено ознакомиться с процедурами реагирования. Для этого пользователя просят открыть вложенный в документ архив «Инструктаж.7z».
Архив «Инструктаж.7z» содержит единственный файл — «Инструктаж.pdf.exe» с двойным расширением для маскировки. После запуска «Инструктаж.pdf.exe» пользователь получает поддельное сообщение об ошибке, однако на самом деле в это время выполняется распаковка explorer.exe. Вредоносное ПО мимикрирует под проводник Windows и названием, и иконкой.
Explorer.exe выполняет поиск в системе файлов с расширениями *.txt, *.csv, *.rtf, *.zip, *.doc, *.docx, *.odt, *.pdf, *.ppt, *.rar, *.xls, *.xlsx и другими. Перечень найденных файлов сохраняется в скрытый файл и выгружается на управляющий сервер злоумышленника.
«В качестве C2-сервера ВПО использует сторонний роутер, который, вероятно, был скомпрометирован и используется как прокси-сервер. На момент исследования осуществить C2-взаимодействие с указанным сервером не удалось», — прокомментировал Александр Рудзик, руководитель направления исследований киберугроз компании «Перспективный мониторинг».
В открытых источниках были найдены и другие связанные с explorer.exe файлы: «Настройки Bitrix.msi» содержит в себе CAB-файл SSbySW, из которого создаётся explorer.exe, аналогичный обнаруженному в текущей фишинговой рассылке; в другой активности используются архив 3D-Komplekt.rar, поддельный установочный файл 3D-Komplekt.msi / OpenVPN-2.7.1.msi / Update_KB839043_26.474.msi, дроппер StickyStrike.exe и стилер explorer.exe.
Чтобы предотвратить такую атаку на организацию, эксперты «Перспективного мониторинга» рекомендуют:
- проверять и фильтровать входящие электронные письма средствами антивирусной защиты c модулем «Анти-фишинг»
- проводить регулярное обучение сотрудников в области защиты от атак с использованием социальной инженерии
- выполнить антивирусную проверку на узлах, убедиться, что установлены актуальные базы сигнатур
- ограничить доступ к файлам, имеющим отношение к распространению ВПО
- ограничить доступ к следующему сетевому ресурсу, имеющему отношение к C2-серверам злоумышленников: 217.25.220[.]101.
Более детальные рекомендации и индикаторы компрометации размещены на официальном сайте компании «Перспективный мониторинг».
Возврат к списку