HP Wolf Security: злоумышленники превращают привычные форматы файлов в инструменты атак

Во втором квартале 2025 года специалисты HP Wolf Security зафиксировали рост активности, связанной с использованием привычных файлов и системных компонентов Windows для обхода защитных механизмов. В опубликованном отчете сказано, что злоумышленники всё чаще используют подходы, которые затрудняют идентификацию атак, прячась за легитимными инструментами и распространёнными форматами документов.

Один из примеров — кампания с участием трояна XWorm. В этом случае атакующие использовали встроенные утилиты Windows (так называемые Living Off The Land Binaries) для выполнения команд и декодирования вредоносной нагрузки, скрытой в изображении с доверенного источника. PowerShell-скрипты извлекали данные из изображения, а MSBuild — компилировал и запускал исполняемый вредоносный код. Такой способ минимизировал количество подозрительной активности и позволял злоумышленникам получить удалённый доступ к системе.

По словам Иэна Пратта, руководителя отдела безопасности персональных систем HP Inc., подобные атаки создают серьёзные вызовы для ИБ-специалистов. Он отметил, что поведение встроенных инструментов трудно классифицировать как вредоносное, что приводит к сложным компромиссам между удобством пользователей и необходимостью реагирования. В отчёте уточняется, что для противодействия подобным угрозам требуется многоуровневая изоляция и защита на уровне конечных точек.

Согласно документу, фишинг остаётся основным каналом доставки угроз — его доля достигла 61% среди всех инцидентов на конечных устройствах. Приманками чаще всего становятся документы — счета, акты, запросы на оплату.

В одной из атак использовались письма со счётом-фактурой и вложением в формате SVG. Этот файл имитировал интерфейс Adobe Acrobat, включая анимацию и индикаторы загрузки. После запуска пользователю предлагалось установить файл, содержащий обратный шелл. Он позволял удалённому оператору выполнять команды и собирать информацию с устройства.

В другой атаке применялись PDF-документы с нечёткими изображениями счетов и кнопкой загрузки. За ней скрывался ZIP-архив с вредоносным скриптом на Visual Basic, который внедрял элементы зловреда прямо в реестр Windows. Конечная нагрузка — MassLogger — похищала учётные данные, перехватывала нажатия клавиш и извлекала данные браузера. Для пользователей во Франции дополнительно загружался RAT-инструмент ModiRAT.