Фальшивые установщики антивируса ESET используются хакерами для атак на украинские организации с внедрением бэкдора Kalambur
Изображение: recraft
На украинских пользователей направлена вредоносная кампания, маскирующаяся под законную продукцию в сфере кибербезопасности. Как сообщили журналисты The Hacker News, в стране зафиксированы фишинговые рассылки, в которых злоумышленники представляются от имени словацкой компании ESET. Суть кампании — установка троянизированных версий программ через поддельные сайты и вредоносные ссылки.
По информации специалистов из самой компании ESET, атаки активизировались в мае 2025 года. Их целью стали украинские структуры, получившие сообщения со ссылками на фальшивые установщики.
Используемые формулировки предполагали, что письмо исходит от команды мониторинга, якобы обнаружившей подозрительную активность, связанную с почтовым ящиком получателя. Предупреждение сопровождалось рекомендацией запустить сканирование, что и приводило к установке вредоносного ПО.
Как утверждают эксперты ESET, за этой атакой стоит группа InedibleOchotense, считающаяся русскоязычной. Исследователи поясняют, что вредоносная кампания эксплуатирует узнаваемость бренда ESET и его широкое распространение на территории Украины. Для обмана пользователей применялись поддельные домены, визуально похожие на официальные ресурсы: esetsmart[.]com, esetremover[.]com и другие.
Файлы, распространявшиеся через эти сайты, представляли собой подменённый установщик. Вместе с легальной программой ESET AV Remover загружался и скрытый компонент Kalambur — вредоносный бэкдор на базе C#. Программа использует сеть Tor для связи с управляющими серверами, а также способна отключать OpenSSH и активировать удалённый доступ по RDP через порт 3389, получая таким образом контроль над системой.
Специалисты поясняют, что в содержании писем наблюдалось сочетание украинского языка с отдельными словами на русском, что, по мнению представителей компании, может свидетельствовать о механических ошибках при переводе текста, предположительно с русского.
В аналитическом материале ESET, охватывающем период с апреля по сентябрь 2025 года, содержится оценка структуры и методов атаки. InedibleOchotense, по мнению аналитиков, имеет пересечения с группами, изучавшимися ранее. В частности, обнаружены сходства с действиями, описанными EclecticIQ в ходе анализа кампании с использованием бэкдора BACKORDER. Кроме того, совпадения обнаружены с эпизодами, задокументированными CERT-UA под именем UAC-0212 — одной из ветвей группировки Sandworm, которую также обозначают как APT44.
