СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.09.2025
#ИБ

Двойная доставка: фишинг и вредоносное ПО для кражи учётных данных

Двойная доставка: фишинг и вредоносное ПО для кражи учётных данных

Источник: cofense.com

Недавние исследования показывают, что современные кибератаки все чаще комбинируют фишинг учетных данных и доставку вредоносного ПО в рамках одной кампании. Злоумышленники используют оба метода одновременно, чтобы обойти разрозненные механизмы защиты и увеличить вероятность получения конфиденциальных логинов и доступа к скомпрометированным системам.

Как работает «двойной» подход

Комбинация фишинга и поставки вредоноса позволяет злоумышленникам покрыть слабые места в защитных решениях: если одна техника обнаруживается или блокируется, в ход идет вторая. В результате атакующие не только похищают сразу вводимые учетные данные, но и разворачивают инструменты для последующего сбора данных, персистенции и разведки в сети жертвы.

  • Фишинг встроен непосредственно в тело письма или в переход по ссылке — жертва вводит учетные данные.
  • Параллельно или последовательно запускается механизм доставки вредоносного ПО (загрузчик, RAT, stealer), который извлекает дополнительные сохраненные учетные данные и другие ценности.
  • Часто используется условная логика (например, проверка User-Agent), чтобы направлять жертв на разные полезные нагрузки в зависимости от платформы.

Примеры кампаний

Анализ нескольких инцидентов показывает разнообразие применяемых тактик и инструментов:

  • Июль 2025: злоумышленники использовали встроенную ссылку, которая по-разному вела пользователей в зависимости от User-Agent. При обращении с Windows-агентом жертву перенаправляли на поддельную страницу Microsoft Store, после чего шел запуск SimpleHelp RAT.
  • Январь 2025: фишинговая форма, встроенная в письмо, при вводе учетных данных инициировала скрипт Visual Basic (VBS). Скрипт разворачивал кастомный stealer, работающий в памяти, который не только перехватывал введенные логины, но и пытался извлечь сохраненные учетные данные, в частности связанные с Microsoft Office.
  • Декабрь 2024: использовался загрузчик, запускавший Muck Stealer. Дальше stealer инициировал HTML-файл для сбора учетных данных, а собранные логины передавались в Google Sheet для последующего просмотра злоумышленниками. Такой подход запутывал поведение Muck Stealer и повышал гибкость эксфильтрации.

«Двойной подход существенно меняет правила игры: он одновременно расширяет тактические возможности и повышает устойчивость атак к традиционным средствам защиты», — констатируют эксперты.

Почему это особенно опасно

Комбинирование фишинга и доставки вредоноса увеличивает эффективность атак по нескольким причинам:

  • Повышенная вероятность успешного компромета: если жертва не ввела данные, вредонос может всё равно захватить сохраненные креденшалы.
  • Сложность детектирования: часть инструментов работает в памяти и не оставляет явных артефактов на диске.
  • Гибкость эксплойтов и маршрутов эксфильтрации (например, использование Google Sheet для хранения данных) затрудняет расследование и блокировку.
  • Целевые механизмы (User-Agent, платформа) позволяют адаптировать атаку под жертву и избежать стандартных фильтров.

Рекомендации для организаций

Чтобы снизить риск успешной компрометации, организациям следует применять комплексную стратегию защиты:

  • Внедрить многофакторную аутентификацию (MFA) для всех критичных сервисов.
  • Использовать EDR/НDR-решения и средства мониторинга сети для обнаружения поведения, характерного для RAT и stealer’ов.
  • Ограничить и контролировать выполнение скриптов и макросов (Block VBS/макросы через групповые политики и Application Control).
  • Проводить регулярные фишинг-учения и обучение сотрудников безопасным практикам работы с почтой и ссылками.
  • Отслеживать аномалии при доступе к внешним сервисам и появление непредусмотренных Google Sheet/документов как возможный канал эксфильтрации.
  • Применять политики по управлению и защите сохранённых учетных данных (использование password managers, ограничение доступа приложений к Credential Stores).
  • Быстро реагировать на инциденты: изоляция скомпрометированных хостов, анализ памяти и сетевого трафика, поиск индикаторов компрометации (IOCs).

Вывод

Эволюция тактик злоумышленников показывает, что разделение между фишингом и доставкой вредоноса становится условным: атакующие всё чаще объединяют методы, чтобы повысить шансы на успех. Это делает критически важным переход организаций от точечных мер защиты к комплексным, многоуровневым стратегиям, способным как предотвращать фишинг, так и обнаруживать скрытую активность вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: