На дворе 2026 год, а сотрудники российских компаний продолжают открывать вредоносные архивы

Файлы-архивы выбились в число самых популярных форматов для доставки вредоносного ПО в российские компании. По данным аналитиков ГК «Солар» за 2025 год, на архивы пришлось около 37% случаев передачи вредоносных файлов через веб-трафик, и теперь они уверенно соперничают с исполняемыми файлами, скриптами и офисными документами. Для атакующих это удобная маскировка, а для бизнеса ещё один повод внимательнее смотреть на привычные ZIP, RAR, 7Z и другие архивные контейнеры.

Архивы давно воспринимаются как обычный рабочий инструмент. Их отправляют в письмах, кладут в облака, используют для обмена документами, отчётами, установщиками и проектными материалами. Именно поэтому они так хорошо подходят для атак.

Пользователь видит знакомый формат, не ждёт подвоха и может открыть файл без лишних сомнений, особенно если письмо оформлено под деловую переписку или загрузка идёт с внешнего сервиса.

Аналитики ГК «Солар» сообщили, что по итогам 2025 года доля архивов среди способов доставки вредоносных файлов через веб-трафик в среднем составила около 37%. В течение года показатель менялся от 34% до 42%. Выше оказались только исполняемые файлы и скрипты, на которые приходится до 40% атак. Офисные документы, которые раньше считались одним из самых узнаваемых каналов заражения, в этой статистике уступили архивам. Их доля достигает 15%.

Чаще всего в таких атаках фигурируют:

• исполняемые файлы и скрипты, на которые приходится до 40% атак;
• архивы, чья доля в среднем достигла около 37%;
• офисные документы, которые занимают до 15%;
• образы дисков и менее привычные архивные форматы, применяемые в более сложных цепочках.

Сильнее всего с такими атаками сталкивались организации финансового сектора, промышленные предприятия и государственный сегмент. Для этих отраслей архивы особенно опасны, потому что обмен файлами там часто связан с договорами, заявками, технической документацией, отчётами и служебными материалами.

В таком потоке вредоносная упаковка может выглядеть как очередной рабочий файл, особенно если злоумышленники подбирают убедительное название и контекст.

Среди архивных форматов лидирует RAR. На него, по данным ГК «Солар», приходится около 24% архивных угроз. Следом идут ZIP и 7Z, которые массово используются в обычной деловой переписке и поэтому не вызывают у сотрудников сильного подозрения.

Отдельно растёт интерес атакующих к TAR, а также к образам дисков ISO и IMG. Эти форматы нередко применяются в более сложных цепочках заражения, где вредоносная нагрузка прячется за несколькими слоями файлов и действий.

Главная ценность архивов для атакующих в том, что они позволяют спрятать реальное содержимое. Внутри может находиться исполняемый файл, скрипт, загрузчик или целая цепочка элементов, замаскированных под документы. Для пользователя всё может выглядеть как безобидная папка с материалами, а для защитных систем такой объект не всегда прозрачен, особенно если архив закрыт паролем или содержит вложенные архивы.

Наибольший риск создают архивы, которые:

• приходят из внешней переписки от незнакомых или скомпрометированных отправителей;
• скачиваются по одноразовым ссылкам или с файлообменников;
• защищены паролем и не раскрывают содержимое защитным системам;
• содержат вложенные архивы, скрипты, установщики или образы дисков;
• маскируются под обновления популярных корпоративных сервисов.

Именно вложенность и пароли становятся проблемой для веб-фильтрации. Система может увидеть сам факт загрузки архива, но не всегда способна разобрать его содержимое до конца. Если вредоносный файл спрятан глубоко или доступ к содержимому ограничен паролем, риск пропустить заражение возрастает. Злоумышленники этим пользуются и превращают архив в аккуратную упаковку для вредоносной доставки.

В ГК «Солар» привели несколько примеров подобных атак. В одном случае письмо вообще не содержало вложения. Вместо этого получателю отправляли ссылку на одноразовый сервис, откуда архив можно было скачать только 1 раз. Такой приём усложняет повторный анализ, потому что после первой загрузки файл может исчезнуть и оставить специалистам меньше следов для расследования.

В другом случае атакующие использовали поддельную страницу загрузки Microsoft Teams. Пользователю предлагали скачать ZIP-архив, внутри которого находился троянизированный установщик. Для жертвы это выглядело как обычное обновление или установка знакомого корпоративного инструмента, но на деле запуск такого файла открывал дорогу вредоносной активности.

Отдельный пример связан с январём 2026 года. Группировка PhantomCore/HeadMare рассылала письма с вредоносными архивами. После открытия они загружали PowerShell-скрипты с легитимных сайтов и продолжали атаку уже через веб-инфраструктуру. Такой метод опасен тем, что часть действий проходит через ресурсы, которые сами по себе могут не выглядеть подозрительно, а вредоносная логика собирается по цепочке.

Как отметили эксперты редакции CISOCLUB, lля компаний эта статистика означает, что привычные архивы уже нельзя считать нейтральным вложением по умолчанию. Проверять нужно не только EXE-файлы и макросы в документах, но и любые контейнеры, особенно если они пришли из внешней переписки, скачаны по короткой ссылке, защищены паролем или маскируются под установщики популярных сервисов. Архив стал не просто способом сжать файлы, а полноценным инструментом доставки вредоносной нагрузки.

И рост доли архивов показывает, что атакующие делают ставку не на экзотику, а на привычные форматы, которые давно встроены в рабочие процессы компаний. Бизнесу важно пересматривать правила обработки вложений, усиливать контроль скачиваний из внешних источников и обучать сотрудников распознавать подозрительные цепочки. Там, где архивы используются каждый день, именно они могут стать самым удобным входом для атаки.