12.10.2025

JavaScript-вложения в письмах: доставка Remcos, Agent Tesla и Formbook

В третьем квартале 2025 года зафиксирован заметный рост почтовых кампаний, в которых злоумышленники используют вложения JavaScript для доставки различных типов вредоносного ПО — в частности, инструментов кражи информации и троянов удалённого доступа (RAT). Среди распространённых семейств — DarkCloud, Remcos, Agent Tesla и Formbook. Атаки маскируются под привычную деловую переписку, оформляются на региональном языке получателя и имитируют шаблоны, типичные для отделов закупок или управления проектами.

Ключевые характеристики кампаний

Вложениями выступают запутанные JavaScript-файлы, упакованные в архивы стандартных форматов: RAR, 7z, Zip, TAR.
Сообщения выглядят как счета-фактуры, уведомления об отправке и другие бизнес-уведомления, что снижает настороженность получателя.
Отправителями часто используются домены вроде *@ymail.com; IP-адреса инфраструктуры идентифицированы в таких странах, как Болгария и Иран.
Конечные полезные нагрузки включают сетевые приложения с специально скомпилированными и защищёнными DLL.

Как работает атака

Атакующие применяют сложные методы обфускации JavaScript, чтобы скрыть вредоносную логику от автоматических средств детекции:

Строки и фрагменты кода разбросаны по массивам и перемежаются необычными маркерами Unicode — включая эмодзи и редкие глифы — что затрудняет статический анализ.
После деобфускации скрипты раскрывают команды PowerShell, которые загружают полезную нагрузку с скомпрометированных доменов.
Выполнение команды инициируется через Windows Management Instrumentation (WMI), что позволяет процессам работать в фоне без видимых проявлений для пользователя.
Альтернативные способы доставки включают встраивание потоков в кодировке Base64 в текстовые файлы — эти потоки представляют собой исполняемые файлы (EXE) или библиотеки (DLL).

Конечные полезные нагрузки и методы защиты кода

Полезные нагрузки в этих кампаниях часто представляют собой сетевые приложения, где DLL специально компилируются и защищаются средствами обфускации и защиты от обратного инжиниринга. Встречаются инструменты наподобие Protector: .NET Reactor (6.X), включающие запутывание потока управления и контрмеры против реверс-инжиниринга.

Кроме того, пространство имён HackForums.gigajew в некоторых образцах указывает на возможные связи с подпольными площадками, где происходит обмен инструментами и инфраструктурой для распространения вредоносного ПО — это свидетельствует о высокой степени организации злоумышленников.

«Тенденция, наблюдаемая в третьем квартале 2025 года, указывает на продуманный подход злоумышленников к сокрытию вредоносных файлов JavaScript в обычных деловых электронных письмах», — следует из отчёта.

Инфраструктура и география

Исследователи отметили следующие особенности инфраструктуры кампаний:

Использование массовых почтовых доменов (ymail.com) для рассылки фишинговых писем.
IP-адреса, связанные с активностью, зарегистрированы в Болгарии и Иране.
Доменам управления и контроля (C2) присваиваются статусы в базах угроз и блокируются провайдерами и службами безопасности.

Принятые контрмеры и практические рекомендации

В ответ на обнаруженные кампании были внедрены меры по обнаружению и блокировке вредоносных JavaScript-вложений, а также систематизирована документация дропперов и классификация доменов C2. Эксперты рекомендуют организациям следующие практики для снижения рисков:

Включить аналитику безопасности электронной почты с правилами на обнаружение и блокировку вложений JavaScript и архивов с подозрительным содержимым.
Блокировать или фильтровать архивы (RAR, 7z, Zip, TAR) с вложенными скриптами и проверять их на стороне шлюза.
Ограничить выполнение PowerShell и WMI на конечных точках: настроить политики, запретить выполнение сценариев из непрозрачных вложений, включить блокировку небезопасных командлетов.
Мониторить подозрительную активность — вызовы WMI, необычные запросы PowerShell, попытки декодирования Base64 и создание исполняемых файлов из текстовых потоков.
Использовать EDR/AV с возможностью детектирования обфусцированных скриптов и цепочек заражения, поддерживать базы сигнатур и поведенческих правил в актуальном состоянии.
Ограничить исходящий трафик и внедрить блокировку известных C2-доменов и IP-адресов.
Повысить осведомлённость сотрудников — обучение распознаванию фишинговых писем, особенно тех, что имитируют счета и служебную переписку.
Документировать и обмениваться IOC с отраслевыми сообществами и поставщиками безопасности для оперативного реагирования.

Краткое заключение: злоумышленники в Q3 2025 демонстрируют скоординированный и технически продвинутый подход к распространению вредоносного ПО через деловую почту, используя сложную обфускацию JavaScript и многоступенчатую доставку полезной нагрузки. Комплекс мер — от фильтрации писем и архивов до мониторинга PowerShell/WMI-активности и блокировки C2-инфраструктуры — остаётся критически важным для защиты организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: