Фишинг через .ics: как календарные вложения обходят фильтры почты
Специалисты по кибербезопасности зафиксировали новую изощренную кампанию по сбору учетных записей, нацеленную на компанию в сфере грузоперевозок и логистики. Главная особенность атаки — нестандартный фишинговый вектор: злоумышленники использовали календарный файл .ics, чтобы спрятать вредоносный payload и обойти традиционные почтовые фильтры. В отличие от привычных атак, где вредоносная нагрузка размещается в теле письма или во вложении с исполняемым кодом, здесь файл календаря сыграл роль незаметного контейнера, не проверяемого с должной строгостью.
Как работает атака
Согласно данным IRONSCALES, фишинговое письмо было намеренно минималистичным: в теле сообщения присутствовала только тема, отсылающая к оценке корпоративного Кодекса поведения, и вложение .ics. Настоящая угроза скрывалась внутри самого приглашения календаря. Размер файла — 87 КБ — необычно велик для простой встречи, так как он включал изображения, закодированные в base64. Эти картинки содержали правдоподобные внутренние уведомления о compliance-процедурах и подталкивали получателя к дальнейшим действиям, например, к переходу по ссылке.
Такой подход эксплуатирует сразу несколько слепых зон традиционных средств защиты:
- Встроенный в .ics HTML и data URI не рендерятся и не анализируются с той же глубиной, что и тело письма;
- Стандартные сканеры часто игнорируют вложения календаря, не извлекая из них изображения, QR codes и скрытые URL;
- Минимум текста в теле письма снижает количество триггеров для сигнатурных и поведенческих детекторов.
«Встроенный контент внутри файла .ics не проверялся с той же строгостью, что и тело электронного письма», — констатируют аналитики IRONSCALES.
Spearphishing Attachment по MITRE ATT&CK
Описанная техника полностью укладывается в тактику Spearphishing Attachment (T1566.001) в MITRE ATT&CK framework. Злоумышленники превратили легитимный формат обмена встречами в контейнер для вредоносного воздействия. Использование закодированных изображений с фальшивыми внутренними инструкциями делает атаку особенно опасной для сотрудников, привыкших доверять корпоративным календарям и мало ожидающих подвоха от приглашения на собрание, связанное с соблюдением нормативных требований.
Обход аутентификации: почему SPF, DKIM и DMARC не спасли
Атака усугублялась тем, что фишинговое письмо было отправлено с ранее скомпрометированной легитимной учетной записи, а для маршрутизации использовались давно существующие, не вызывающие подозрений домены. Схема отправки через relay infrastructure нарушила alignment SPF и DKIM, а политика DMARC на стороне получателя имела значение none. В результате даже такие распространенные системы защиты, как Barracuda и Microsoft, классифицировали письмо как безобидное.
Таким образом, злоумышленники опровергли популярное допущение, будто опасность представляют только письма с новых доменов. Легитимный, но скомпрометированный почтовый ящик и ослабленные настройки DMARC в совокупности открыли путь для доставки вредоносного календаря напрямую в почтовые ящики жертв.
Календарные файлы — невидимый вектор угрозы
Инцидент высветил критический недостаток в практике защиты электронной почты: содержимое календарных приглашений редко анализируется на предмет встроенных углубленных угроз. Многие системы фильтрации не умеют корректно обрабатывать встроенный HTML внутри .ics, рендерить изображения, декодировать QR codes или выявлять скрытые ссылки. IRONSCALES предложила подход, сочетающий более строгую проверку вложений с оптическим распознаванием символов (OCR) изображений и корреляцией между аутентификацией отправителя и поведенческими аномалиями в календарных структурах. Такая стратегия позволила значительно повысить уровень обнаружения подобных фишинговых кампаний.
Что это означает для практики безопасности
Кампания доказывает: бдительность необходима в отношении каждого элемента электронного сообщения, включая, казалось бы, безобидные календарные приглашения. Экспертам по безопасности рекомендуется:
- Настроить системы анализа для глубокого сканирования содержимого файлов .ics, включая рендеринг встроенных изображений и проверку data URI;
- Применять OCR для выявления фишинговых сообщений, встроенных в графику, и сканирования QR codes внутри календарей;
- Не полагаться исключительно на SPF/DKIM при проверке легитимности, особенно если DMARC установлен в none;
- Обучать персонал распознавать подозрительные приглашения календаря, особенно те, что апеллируют к срочной оценке документов или политик компании.
Атака с календарным файлом .ics — еще одно напоминание, что злоумышленники активно ищут малейшие зазоры в механизмах фильтрации. Любой второстепенный с точки зрения безопасности формат способен стать полноценным оружием, если его содержимое не проверяется с той же тщательностью, что и тело письма.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



